Как Модный Бизнес может снизить Киберриски
(No Ratings Yet)
Эта статья впервые появилась в The State of Fashion 2022, подробном отчете о мировой индустрии моды, опубликованном совместно BoF и McKinsey &Company. Чтобы узнать больше и загрузить копию отчета, нажмите здесь. Кибератаки и утечка данных являются одними из главных рисков для модных компаний, их клиентов и экономики в целом. Кража корпоративных данных, данных о клиентах и сотрудниках или денежных средств может свести на нет годы напряженной работы, подорвать отношения и оказать существенное влияние на репутацию и эффективность работы. Число киберинцидентов, включая попытки незаконного доступа к системе, сети, инфраструктуре или устройству с целью причинения ущерба, быстро растет.
Количество публично зарегистрированных утечек данных в США выросло на 38 процентов во втором квартале 2021 года по сравнению с первым кварталом, и только за первое полугодие количество утечек достигло 76 процентов от общего числа, зарегистрированных в 2020 году. Риски кибербезопасности существуют во многих процессах индустрии моды, от цифрового дизайна и анализа данных до онлайн-транзакций и операций в цепочке поставок.
Многие системы бэк-офиса были переведены в цифровой формат лишь недавно, а это означает, что они представляют собой потенциальное слабое место для руководителей сферы моды и служб безопасности, которым ранее не приходилось выявлять, оценивать и снижать потенциальные риски в этих областях. Действительно, меняющиеся методы работы создают постоянные проблемы, требующие гибкого подхода к принятию решений и постоянного переосмысления средств защиты.
В последнее время в индустрии моды произошли два изменения, которые привели к росту киберуязвимости. Первое - это переход к более гибким методам работы. Новые продукты и услуги все чаще разрабатываются и выводятся на рынок с помощью быстрых итераций с использованием гибких методов, где сжатые сроки зачастую не позволяют проводить тщательную проверку рисков. Команды по обеспечению безопасности должны привлекаться на ранних этапах процесса разработки и внедряться в полный цифровой цикл новых продуктов и услуг.
Вторая причина - продолжающееся развитие технологий. Все более широкое использование облачных вычислений, искусственного интеллекта и машинного обучения подвергает компании все большему киберриску, расширяя возможности для атак. Команды по обеспечению безопасности должны проявлять новаторство в поиске способов применения общих шаблонов и методов обеспечения безопасности к новым технологиям. Киберугрозы имеют долгосрочную тенденцию к росту, которая усилилась во время пандемии Covid-19, частично в результате широкого внедрения моделей и технологий работы на дому и растущего спроса на электронную коммерцию. Действительно, за прошедший год онлайн-ритейл стал одним из наиболее подверженных атакам секторов, на долю которого приходится 10,2% всех атак в различных отраслях. Учитывая растущую частоту и серьезность инцидентов, регулирующие органы требуют от компаний защищать себя, своих партнеров и клиентов и наказывают тех, кто этого не делает.
Европейский общий регламент по защите данных (GDPR) предусматривает штрафы за несоблюдение требований в размере до 4% от годовой выручки компании по всему миру. Проблема для компаний, желающих инвестировать в киберзащиту, заключается в том, что стоимость инициирования атаки значительно ниже, чем стоимость защиты.
Это создает асимметричное поле битвы, на котором хакеры, компании, спонсируемые государством агентства и другие злоумышленники могут относительно легко проникать в системы. Более того, для жертв стоимость атаки продолжает расти. Согласно ежегодному отчету IBM «Стоимость утечки данных за 2021 год», средняя стоимость утечки данных в 2021 году выросла почти на 10% в годовом исчислении и составила 4,24 миллиона долларов, что стало крупнейшим ежегодным увеличением за последние семь лет.
Кроме того, чем дольше системы остаются скомпрометированными, тем больше растут затраты. Во всех отраслях корпоративные подходы к кибербезопасности совершенствуются, компании приобретают новые возможности и повышают свою устойчивость. Банковское дело и здравоохранение являются одними из наиболее развитых отраслей в том, что касается киберустойчивости, в то время как моде предстоит еще многое сделать, чтобы наверстать упущенное.
В ответ на это лица, принимающие решения в области моды, должны придерживаться двойного подхода, согласовывая краткосрочные потребности, вызванные пандемией, с долгосрочными потребностями цифровой экономики. Чтобы повысить устойчивость, безопасность должна быть встроена в продукты и процессы, а клиенты, партнеры, третьи стороны и регулирующие органы также должны быть вовлечены в процесс управления устойчивостью предприятия.
Преимущества этого очевидны для лиц, принимающих решения: существует прямая взаимосвязь между устойчивостью к киберпространству и эффективностью бизнеса. Согласно недавнему опросу McKinsey, более высокий уровень кибербезопасности коррелирует с большей прибылью, поэтому отдача от эффективного управления рисками выходит за рамки безопасности.
Успешное внедрение улучшенных кибернетических возможностей должно основываться на действиях в пяти ключевых областях: Определите правила игры и среду риска. Руководители в области кибербезопасности должны сосредоточиться на выявлении соответствующих киберрисков (включая потенциальные события “черного лебедя”) в своих цепочках создания стоимости.
Это начинается с понимания основных правовых и нормативных правил и перехода к подходу, основанному на оценке рисков. Это означает, что не все активы созданы равными и не все могут быть одинаково защищены. Руководителям бизнеса жизненно важно иметь глобальный взгляд как на деятельность компании, так и на ее цепочки поставок, а также доводить требования к кибербезопасности до сведения поставщиков и третьих сторон. Страхование от кибератак - это один из вариантов, но стоит ознакомиться с информацией, напечатанной мелким шрифтом, вероятно, существуют области риска, которые не покрываются, а рыночные условия быстро меняются.
Наращивайте потенциал для предотвращения кибератак. Следует разработать правила и стандарты (например, правила приемлемого использования электронной почты и рекомендации по борьбе с фишингом), а также внедрить технические меры предотвращения во все системы, включая шифрование данных и брандмауэры нового поколения.
Хотя некоторым системам может потребоваться дополнительный уровень защиты, важно соблюдать общие требования, такие как поддержание программного обеспечения в актуальном состоянии и регулярное сканирование систем на наличие уязвимостей. Если киберугроза распространяется на производственные системы или другие подключенные устройства, меры следует распространить и на эти области.
Укрепите способность обнаруживать кибератаки и реагировать на них. Традиционно в сфере кибербезопасности основное внимание уделялось предотвращению, но сейчас основное внимание уделяется обнаружению и реагированию, что подтверждает тот факт, что злоумышленники неизбежно преуспеют во взломе систем.
Внутри компании это означает тщательный мониторинг систем и приложений, а также поощрение сотрудников сообщать о подозрительных действиях. Клиенты, партнеры и третьи стороны должны быть полностью вовлечены как в меры по выявлению, так и в меры реагирования.
Внешние компании должны внимательно следить за информацией о киберугрозах и быть постоянно начеку, даже если их собственные механизмы еще не включили сигнал тревоги. Уточните обязанности в рамках всего бизнеса. Четкие роли и ответственность жизненно важны для обеспечения киберустойчивости. Компаниям необходимо определить, что такое “хорошо”, кто владеет какой частью кибербезопасности и как следует развивать соответствующие возможности и навыки. Передовому персоналу компании и всем, кто не является специалистом в области информационных технологий или безопасности, важно понимать свою роль в выявлении и снижении киберрисков, а также знать, на какой уровень поддержки они могут положиться. В некоторых компаниях введена должность директора по информационной безопасности (CISO) - руководителя, который определяет и руководит всеобъемлющим подходом к кибербезопасности, создает централизованные службы кибербезопасности и помогает наращивать возможности по всему бизнесу.
В то время как компаниям необходимо будет наращивать собственные возможности в определенных областях, они также могут рассмотреть возможность получения внешней поддержки. Смоделируйте наихудший вариант и укрепите мышечную память. Ведущие организации проверяют свои планы и готовятся к худшему, проводя симуляции атак. Цель состоит в том, чтобы оценить процесс принятия решений, обеспечить четкость ролей и ответственности, включая полномочия по принятию решений, и выявить слабые стороны.
Это позволяет компаниям разработать эффективный механизм реагирования и повысить скорость своей реакции в случае реальной атаки. Компании-лидеры в области кибербезопасности отличаются выдающимися показателями в нескольких ключевых областях, включая поддержание низкого уровня кликов по фишинговым программам для сотрудников, регулярный пересмотр и обновление приоритетов в области кибербезопасности, внедрение решений для управления приложениями, сканирование ИТ-среды на наличие уязвимостей и сбор аналитических данных об угрозах.
В качестве общего принципа руководители высшего звена должны учитывать киберриски при принятии любых решений. Таким образом, они будут действовать на опережение и обеспечат максимальную устойчивость средств защиты организации. Автор этой статьи сосредоточен на стратегии и преобразованиях в области кибербезопасности в McKinsey. Эта статья основана на большом объеме исследований в области кибербезопасности. Последний отчет из этой серии называется «Киберзрелость организаций: обзор отраслей».
