Руководители компаний больше не могут пренебрегать своими планами обеспечения кибербезопасности. Когда происходят крупные инциденты, они рискуют получить иски акционеров, обвинения регулирующих органов или даже потерять работу.

Автор: Джен А. Миллер

What does your CEO need to know about cybersecurity?

Генеральный директор UnitedHealth Эндрю Уитти дает показания перед Финансовым комитетом Сената на Капитолийском холме 1 мая 2024 года в Вашингтоне, округ Колумбия. В феврале хакеры украли медицинские и личные данные того, кто UnitedHealth утверждает, что это «потенциально значительная часть» информации о пациентах из ее систем. Кент Нисимура /Getty Images через Getty Images

Ранее в этом году генеральный директор UnitedHealth Group Эндрю Уитти дал показания перед Конгрессом по поводу февральской кибератаки на дочернюю компанию Change Healthcare, которая затронула примерно треть американцев и на несколько месяцев нарушила обработку претензий, платежи поставщикам, предварительные запросы на авторизацию и проверки соответствия требованиям. Инцидент был примечателен тем, что, хотя нарушения кибербезопасности стали обычным делом, генеральный директор, отвечающий на вопросы безопасности на самом высоком правительственном уровне, таковым не является.

Но это меняется, потому что изменился риск такого взлома, особенно когда личная и медицинская информация скомпрометирована, как это произошло с UnitedHealth. 

“Кибер-риски намного превзошли традиционные риски с точки зрения воздействия”, — сказал Кевин Данн, бывший старший вице-президент и руководитель отдела профессиональных услуг в NCC Group, который сейчас работает старшим менеджером по безопасности ProServe в AWS.

Руководители компаний не могут больше не просматривайте планы кибербезопасности их компаний. Когда происходят крупные инциденты, они рискуют быть уволенными, вынужденными уйти в отставку, получить иски акционеров или даже обвинения со стороны Комиссии по ценным бумагам и биржам. 

В течение десятилетий менялось представление о том, кто несет ответственность за риски

Роль генерального директора в сфере кибербезопасности точно не изменилась, но восприятие генерального директора по словам Тревора Хорвица, директора по финансовым вопросам и основателя Trustnet, это связано с риском и уровнем вовлеченности. По словам Хорвица, десять лет назад кибербезопасность рассматривалась как проблема информационных технологий и соблюдения нормативных требований. “Если и имело место нарушение, то его последствия не считались существенными, и роль генерального директора заключалась в основном в принятии решений высокого уровня во время инцидента”.

Разница теперь заключается в потенциальной угрозе бизнес-операциям и репутации, — сказал он. “Перед руководителями компаний стоит задача интегрировать кибербезопасность в общую бизнес-стратегию и привести ее в соответствие с бизнес-целями”.

Старые отговорки тоже больше не помогут, — добавил Данн.В случае с UnitedHealth Witty объяснил взлом приобретением компании Change Healthcare и тем, что они еще не довели свою систему безопасности до совершенства. Хакерская атака на компанию также не была сложной: в Change Healthcare не была включена многофакторная аутентификация, свидетельствовал Уитти.

Его ответы, включая подтверждение того, что компания заплатила выкуп в размере 22 миллионов долларов в биткоинах, не были одобрены Конгрессом. “Этот взлом можно было остановить с помощью системы кибербезопасности 101”, — заявил сенатор. Об этом заявил сенатор-демократ Рон Уайден во время слушаний в Сенатском комитете по финансам. Сенатор. Джон Баррассо, республиканец, штат Вайоминг, отметил, что даже в небольшой сельской больнице в его родном штате есть многофакторная аутентификация.

Помимо того, что это несколько затруднительных дней для Witty, такие нарушения могут иметь потенциальные последствия, которые не ограничатся требованием Конгресса к должностным лицам компании давать показания. 

Руководители компаний также в долгу перед SEC, говорит известный вице-президент Gartner, аналитик Кателл Тилеманн, что означает, что они несут ответственность перед акционерами или, в случае, если компания, которую они контролируют, является частью критически важной инфраструктуры, перед страной. “Правительство говорит мне, что «мне жаль» недостаточно хорошо, — сказал Тилеман. «Мы больше не готовы мириться с последствиями разрушения критически важной инфраструктуры для национальной безопасности и экономического процветания”.

Что нужно знать руководителям компаний

Существуют также по словам Тилеманна, возможные юридические последствия для громких инцидентов в сфере безопасности могут быть связаны с судебными исками акционеров или обвинениями со стороны SEC, как это произошло с CISO SolarWinds после их масштабного нарушения. В случае с SolarWinds “они не преследуют генерального директора, но они сигнализируют, что, если они обнаружат, что была какая-то дезинформация или какие-то откровенно ложные заявления для инвесторов, они будут преследовать генерального директора”, — сказала она. “Если они могут привлечь за это директора по информационным технологиям, они сделают то же самое для генерального директора”.

Руководителям не обязательно становиться экспертами в технических аспектах кибербезопасности, чтобы быть готовыми к атаке или — будем надеяться — предотвратить ее до того, как она произойдет. это начинается.По словам Хорвица, руководители компаний должны играть определенную роль в разработке стратегии кибербезопасности в целом, которая включает в себя надзор за разработкой и внедрением стратегий снижения рисков, планов реагирования на инциденты и планов аварийного восстановления.“Когда происходит нарушение, руководители компаний теперь гораздо активнее занимаются деталями, разрабатывая планы реагирования на инциденты, принимая решения, общаясь с ключевыми заинтересованными сторонами и информируя совет директоров”, — сказал он. 

Это означает, что необходимо разобраться в вопросах кибербезопасности до того, как произойдет нарушение.

“Я бы не позволил своей команде сорваться с крючка, получив туманные заверения”, что компания в безопасности, — сказал Данн. Вместо этого генеральные директора должны “задавать глубокие вопросы не о технических аспектах ИТ, а об охвате и глубине, а также о том, насколько мы уверены” в позиции компании в области кибербезопасности.