Почему кибербезопасность должна быть приоритетом на уровне совета директоров в каждой компании — точка зрения Сергея Михалапа

Благодаря современному взаимосвязанному миру кибербезопасность больше не является технической запоздалой задачей. Она стала обязательным требованием для руководителей. По мере того, как онлайн-угрозы становятся всё более изощрёнными, а нарушения — всё более дорогостоящими, компании осознают необходимость интеграции цифровой безопасности в корпоративное управление. Но что означает, что кибербезопасность становится приоритетом на уровне совета директоров, и почему многие компании всё ещё отстают?

Эксперт по кибербезопасности Сергей Михалап считает, что ответ кроется в образе мышления. Обладая более чем девятилетним опытом работы на передовой, включая руководство национальными операциями по киберзащите и соучредительство стартапа в сфере кибербезопасности, Михалап лично столкнулся с последствиями отношения к кибербезопасности как к простому пункту программы, а не как к стратегическому столпу.

Михалап начал свою карьеру в 2016 году в качестве аналитика в Центре операций национальной безопасности (ЦОС) Украины. Работая над реагированием на сложные постоянные угрозы (APT) против государственной и частной инфраструктуры, он разработал детальное понимание поведения субъектов угроз.

«Мы не просто выявляли вредоносное ПО, — вспоминает Михалап. — Мы отслеживали его мотивы, определяли долгосрочные цели злоумышленников и то, как они проникали в цепочки поставок».

К 2020 году он перешёл в коммерческий сектор, сначала работая специалистом по реагированию на инциденты, а затем возглавив команды SOC в международной компании, предоставляющей услуги кибербезопасности. Его работа включала в себя создание двух SOC с нуля, интеграцию автоматизации, очередности действий и круглосуточного мониторинга. Среди клиентов компании были финтех-компании и компании в сфере платёжных технологий, находящиеся под строгим контролем регулирующих органов.

В 2024 году Михалап стал соучредителем стартапа, предоставляющего услуги безопасности для стартапов и малого и среднего бизнеса в сфере криптовалют, банковского дела и транзакционных технологий. Его команда проводит тестирование на проникновение, цифровую криминалистику и реагирование на инциденты (DFIR), оценку рисков и аудит безопасности.

«Кибербезопасность — это не только профилактика. Это реагирование, восстановление и доверие. И это доверие начинается с лидерства», — говорит он.

Вклад Михалапа не остался незамеченным. В 2022 году он был награждён национальным знаком Украины «Знак качества» за исключительный профессионализм в сфере кибербезопасности. Комитет по присуждению награды особо отметил его работу в области реагирования на инциденты, стратегического планирования обороны, обучения пользователей и цифровой криминалистики.

В 2023 году он был удостоен звания Лауреата национальной премии «За высокую репутацию», отмечающей его приверженность этическим принципам ведения бизнеса, ответственности и качеству. Эти награды подчёркивают его авторитет как лидера, сочетающего техническую строгость с честностью.

По словам Михалапа, включение вопросов кибербезопасности в повестку дня совета директоров — не просто опция, а необходимость. «Советы директоров контролируют стратегические риски. А в 2025 году киберриск станет стратегическим риском», — утверждает он.

Однако многим советам директоров не хватает опыта для понимания технических уязвимостей, не говоря уже о согласовании безопасности с бизнес-целями. Это создаёт опасный разрыв.

«Отсутствие киберграмотности на высшем уровне приводит к нерациональному распределению бюджетов, непродуманным планам реагирования и чрезмерной зависимости от поставщиков», — предупреждает он. «Кибербезопасность следует рассматривать как финансовую или юридическую сферу — как область со своими собственными показателями, языком и ответственностью».

Он выступает за регулярные брифинги на уровне совета директоров с участием директоров по информационной безопасности или внешних экспертов, уделяя особое внимание:

• Обязательства по соблюдению
• Готовность к реагированию на инциденты
• Инвестиционные приоритеты для обеспечения устойчивости
• Текущий ландшафт угроз и тенденции
• Критически важные для бизнеса активы и их уязвимость

Михалап считает, что, рассматривая кибербезопасность с точки зрения непрерывности бизнеса и репутационного риска, советы директоров смогут лучше понять ее ценность.

В работах Михалапа повторяющаяся тема — скрытая цена бездействия. «Нарушение — это не просто потеря денег. Оно подрывает доверие. Оно выявляет халатность. Оно может сорвать IPO или сделку слияния и поглощения».

В регулируемых отраслях последствия ещё более серьёзные. Штрафы, иски и запреты со стороны регулирующих органов — всё это на виду. «Но главная проблема — это конкурентное невыгодное положение. Если ваши конкуренты инвестируют в устойчивость, а вы — нет, вам приходится догонять уже после того, как ущерб уже нанесён».

Михалап подчёркивает, что участие совета директоров должно идти рука об руку с изменениями в корпоративной культуре. Безопасность не может быть эффективной в отрыве от других.

«Нам необходимо развеять миф о том, что кибербезопасность — это проблема ИТ-отдела. Это ответственность каждого. От отдела кадров до финансового отдела и отдела разработки продуктов — каждое подразделение должно понимать свою роль в управлении киберрисками».

Для этого его компания предлагает индивидуальные учебные модули, которые согласуют методы обеспечения безопасности с должностными обязанностями. Они также помогают компаниям моделировать атаки, чтобы проверить, как руководители принимают решения в условиях стресса.

«Когда руководители сталкиваются с имитацией взлома, они понимают, насколько высоки ставки. Они понимают, что речь идёт не только о межсетевых экранах. Речь идёт о репутационном ущербе, правовых рисках и выживании бизнеса».

Михалап выделяет несколько практик, которые используют дальновидные советы директоров:

• Киберриск как часть управления корпоративными рисками (ERM): интеграция безопасности в более широкие панели управления рисками.
• Обучение членов совета: проведение семинаров или вводных сессий для новых членов.
• Независимые оценки: привлечение сторонних экспертов для проведения проверок зрелости.
• Планирование сценария: Проведение настольных учений для руководящих групп и директоров.
• Согласование бюджета: обеспечение соответствия инвестиций в безопасность цифровому следу компании и подверженности угрозам.

Он отмечает, что советам директоров не нужно становиться экспертами по кибербезопасности. Но они должны задавать правильные вопросы и ожидать чётких и действенных ответов.

Заглядывая в 2025 год и далее, Михалап видит растущую необходимость для компаний включать киберстратегию в долгосрочное планирование. По мере роста масштабов и сложности программ-вымогателей, атак с использованием искусственного интеллекта и нарушений цепочек поставок, он утверждает, что приоритеты советов директоров должны меняться соответствующим образом.

«Кибербезопасность — это уже не просто защита периметра сети. Это управление цифровыми рисками в масштабах всего предприятия. Это вопрос устойчивости. И всё начинается с руководства, которое понимает, что действительно поставлено на карту».

По мнению Сергея Михалапа, кибербезопасность должна быть в центре внимания руководства. Не только во время кризиса, но и в рамках повседневного контроля.

«Если вы не обсуждаете кибербезопасность на уровне совета директоров, вы делаете свою организацию уязвимой как в техническом, так и в репутационном плане», — говорит он. «Кибербезопасность теперь стала фактором, способствующим развитию бизнеса. Советы директоров, которые понимают это правильно, будут уверенно лидировать. Те, кто этого не делает, останутся позади».

(Изображение Клиффа Ханга с Pixabay)