Старший сотрудник Центра кибермониторинга (CMC), организации, созданной в прошлом году для мониторинга, определения и классификации киберинцидентов, затрагивающих организации Великобритании, на этой неделе поставил под сомнение целесообразность предоставления компанией Jaguar Land Rover (JLR) государственной гарантии по кредиту в размере 1,5 млрд фунтов стерлингов (около 2 млрд долларов США).
Выступая на мероприятии, организованном Королевским объединенным сервисом (RUSI), где подводились итоги деятельности CMC за первый год работы, Киаран Мартин, председатель технического комитета CMC по кибермониторингу, обсудил гарантию по кредиту, объявленную в прошлом году после атаки, которую назвали одним из худших инцидентов в сфере кибербезопасности в Великобритании.
«Я должен подчеркнуть, что говорю от себя лично. Я считаю, что гарантия по кредиту создает неблагоприятный прецедент, поскольку правительство вмешалось в конкретном случае, реагируя на ряд событий, без четких критериев того, в какой форме такое вмешательство могло бы быть осуществлено», — заявил Мартин во время панельной дискуссии с руководителями CMC и Трейси Пол, директором по стратегии и коммуникациям в Pool Re, британском перестраховщике по терроризму.
Мартин, который также является почетным научным сотрудником RUSI, отметил: «Очевидно, существует ряд правдоподобных, реалистичных плохих сценариев, при которых большинство здравомыслящих граждан ожидали бы некоторой формы государственной активности. Но было бы лучше иметь некий фреймворк: будь то обязательное страхование, стимулирование страхования через налоговые льготы, или набор принципов, определяющих, что послужит триггером для государственного вмешательства. И в какой форме? Гарантии по кредитам? Что-то еще?»
Усложняя ситуацию, Пол отметила, что сегодня существует пробел в киберстраховании. «Я не знаю, как мы собираемся преодолеть этот разрыв между потенциальными экономическими потерями и застрахованными потерями без партнерства между правительством, страховой индустрией и другими частями киберэкосистемы», — сказала она. У отрасли есть предоплаченная модель и контракт с правительством, согласно которому, если у страховщика закончатся деньги, правительство вмешается и предоставит кредит для покрытия убытков.
«Но это один из способов, и я думаю, они хотели бы иметь гибкость действовать по-другому», — заметила она. «Но я считаю, что вы не можете осуществлять передачу рисков между государственным и частным сектором без какой-либо структуры, и в какой-то момент правительству придется сесть за стол переговоров, чтобы определить, как это будет выглядеть, чтобы это произошло».
Воздействие инцидента может «прокатиться по всей экономике»
Аналитики разделяют опасения Мартина.
Эрик Авакян, технический консультант Info-Tech Research Group, заявил в пятницу, что он «уже много лет предсказывает, что злоумышленники начнут отходить от атак, направленных на мелкие сбои (например, DDoS), к катастрофическим сбоям и разрушению операций компаний».
По его словам, инцидент в JLR «действительно говорит о влиянии на общую устойчивость бизнес-операций компании. И когда это происходит, последствия могут выйти далеко за рамки простого недополучения квартальной прибыли».
Авакян добавил: «То, что мы видели в результате атаки на Jaguar Land Rover, несомненно, является примером этого, и показало, что киберинцидент может остановить реальные операции таким образом, что последствия могут прокатиться по всей экономике, а не только по ИТ-системам; где кибератака может напрямую повлиять на ВВП страны, занятость и посеять хаос в национальном экспорте».
Он согласился с мнением Мартина, объяснив: «По моему мнению, вмешательство правительства таким образом, посредством гарантии по кредиту, создает и посылает сигнал о том, что некоторые компании теперь могут считаться слишком важными, чтобы обанкротиться из-за киберриска. Это может создать опасный прецедент, поскольку крупные, критически важные организации могут стать основными целями для киберпреступников, если они знают, что успешная атака может повлечь за собой столь масштабные последствия».
Это также может привести к новым рискам, сказал Авакян: «Компании могут потенциально недоинвестировать в свою безопасность, если считают, что для них существует неявная страховочная сетка. Киберустойчивость важна как никогда и должна быть центральной в том, как организации подходят к вопросам безопасности и управления рисками; не только как предотвратить взлом, но и как поддерживать работу бизнеса перед лицом кибератак».
Дэвид Шипли, генеральный директор Beauceron Security, добавил: «Использование страхования для того, чтобы обманом избежать принятия более дорогих в краткосрочной, но более эффективных в долгосрочной перспективе мер по распределению риска, создало чудовище».
Он задался вопросом, почему организации должны «вкладывать все усилия в многофакторную аутентификацию, когда можно просто купить страховку? Проблема сейчас в том, что чудовище киберпреступности, которое вскормило страхование, теперь размером с Годзиллу, и мы не можем застраховать весь ущерб. Отличная работа».
Государственное спасение промышленности, по словам Шипли, «это всего лишь следующий, плохой шаг в том же ошибочном решении. Если страхование было крэк-кокаином неверного управления киберрисками, то государственное спасение — это корпоративный фентанил. Возможно, разумное решение состоит в том, что мы должны учитывать реальную стоимость надлежащей безопасности в наших товарах и услугах и инвестировать в способы, которые не передают деньги в руки преступников».
Эта статья была первоначально опубликована на CIO.com.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Paul Barker
