რამდენად კარგად ესმის თქვენი კომპანიის CEO-ს მონაცემთა უსაფრთხოება?

Posted on by

როდისმე გიფიქრიათ, რას ჰკითხავდით CEO-ს, კომპანიის დირექტორთა საბჭოს თავმჯდომარე რომ გამხდარიყავით სულ 10 წუთით და 1 შეკითხვის დასმის უფლება გქონოდათ?

ისეთ საკითხებზე, როგორიცაა ბაზრის მდგომარეობა, დინამიკა, სტრატეგია და ა.შ უფროს აღმასრულებელ ოფიცრებს (CEO) წინასწარ მოფიქრებული და ჩამოყალიბებული პასუხები გააჩნიათ. შესაბამისად, ისეთი შეკითხვა უნდა მოიფიქროთ, რომ ღირდეს მისი დასმა და ეს ერთი შანსი უაზროდ არ გაფლანგოთ. რაიმე გამორჩეული, რომელიც CEO-ს ჩამოხსნის უძლეველობის მანტიას და სააშკარაოზე გამოიტანს მის ყველა ფარულ შიშს, კითხვა, რომელიც მისი თაოსნობით მართული კომპანიის რეალურ პოტენციალს გიჩვენებთ.

მოდით დავუსვათ CEO-ს ასეთი კითხვა: „არჩევანის წინაშე რომ იდგეთ, რომელს გაანთვისუფლებდით – უფროს ფინანსურ ოფიცერს (CFO – Chief Financial Officer) თუ უფროს უსაფრთხოების ოფიცერს (CSO – Chief Security Officer)?”

ჯერ ერთი, თუ კომპანიას უსაფრთხოების ოფიცერი არ ჰყავს და აღმასრულებელს S მდგრადი განვითარება (S-ustainability) ჰგონია, დაუყოვნებლივ გაათავისუფლეთ ის. ხოლო იმ შემთხვევაში თუ კომპანიას ჰყავს CSO და აღმასრულებელი ოფიცერი აირჩევს მის გათავისუფლებას… იგივე მოიმოქმედეთ! იმიტომ, რომ ეს მცდარი პასუხია. ბარემ, სანამ გათავისუფლების პროცესში ხართ, ისიც გააგებინეთ, რომ მონაცემთა უსაფრთხოება კორპორაციის ნომერ პირველი კრიტიკული ფაქტორია და კომპანიისთვის CSO პრეზიდენტის მრჩეველთა საბჭოს თავმჯდომარესავითაა. განა ვინ ათავისუფლებს პრეზიდენტის მრჩეველთა საბჭოს თავმჯდომარეს ომის პერიოდში?!

თქვენ დაუყოვნებლივ დაინახავთ პროტესტის ტალღას:

  • „რა ომის პერიოდი?“
  • „რომელი შეტევის ქვეშ ჩვენ ვართ?“
  • „მონაცემების გაჟონვა ჩვენთან არ მოხდება“
  • „ბოლოს და ბოლოს ჩვენ ტექნოლოგიური კომპანიაც კი არ ვართ“

თქვენ შეგიძლიათ სიამოვნებით გადაწვეთ სკამზე და კარგად გადაიხარხაროთ, რადგან ახლახან კომპანიისთვის საუკეთესო გადაწყვეტილება მიიღეთ – ის ხომ რეალობასაა მოწყვეტილი. გარდა ამისა, მისი სიბრმავე უსაფრთხოების მიმართ ისეთივე დანაშაულია, როგორც კომპანიის მდგომარეობის შესახებ ყალბი მონაცემების წარდგენა უოლ სტრიტის ანალიტიკოსისთვის.

კომპანიის აღმასრულებელმა ოფიცერმა აუცილებლად უნდა იცოდეს უსაფრთხოებასთან დაკავშირებული 4 ძირითადი წესი:

  • კარგად დაგეგმილი შეტევის შედეგად მონაცემების გაჟონვა უფრო მეტი საფრთხის შემცველია ბიზნესისთვის, ვიდრე თუნდაც რეცესია. რეცესიას შეგიძლიათ გაუმკლავდეთ თქვენი პროდუქციის წარმოების რაოდენობისა და ფასის შემცირებით, მაგრამ იმ ტექნოლოგიის მოპარვით გამოწვეული ზარალთან ჭიდილი, რომელზეც თქვენი კომპანიაა დაფუძნებული, გაცილებით რთულია.
  • კიბერდანაშაული სწორედაც რომ აღმასრულებლის პრობლემაა და არა სხვისი. ნიუსები სავსეა თანამედროვე კიბერშეტევებითა და სახელმწიფოს მიერ დაფინანსებული კიბერ შპიონაჟით. ჩინეთი, რუსეთი, ამერიკა, ჩრდილოეთ კორეა… ეს იმ ქვეყნების მცირე ჩამონათვალია, რომლებიც სახელმწიფო დონის კიბერ შეტევებითაა ცნობილი. კომპანიებს არასწორად ჰგონიათ რომ ეს მათთან არანაირ კავშირში არაა. რეალურად მილიონობით კიბერშეტევა ხდება ყოველ დღე, რომელსაც კომპანიები ხშირად გარკვეული დროის გასვლის შემდეგ ხვდებიან. ეს იმიტომ, რომ ხელსაწყოები და შეტევის ტექნიკა თავისი ახსნით, ყველასთვის უფასოდაა ხელმისაწვდომი. მაგალითად, Social Engineer Toolkit, რომელიც მრავალ მილიონჯერაა ჩამოტვირთული. ბლუმბერგის რეპორტის თანახმად, 2012 წელს, როდესაც კოკა-კოლას $2.4 მილიარდ დოლარად უნდა შეეძინა ჩინური წვენების კომპანია – Huiyuan Juice Group – მოხდა კიბერ შეტევა, რამაც ეს მოლაპარაკება ჩაშალა. რომ დავაზუსტოთ, კომპანიის აღმასრულებელმა პირმა გახსნა ფიშინგ მეილი, რომელზეც ქილოგერის ლინკი იყო მიბმული. შედეგად შემტევებმა მოიპოვეს შეძენის სტრატეგიის დოკუმენტაცია და ჩაშალეს ის.
  • მრავლისმეტყველ სიჩუმეს თავისი მიზეზი აქვს. რადგან სხვა კომპანიების აღმასრულებელები არაფერს ამბობენ უსაფრთხოების გარღვევის შესახებ, სულაც არ ნიშნავს რომ არაფერი ხდება. ისევე, როგორც თქვენი კომპანიის უსაფრთხოების გარანტია არ არის ის, რომ სისტემაში საეჭვო ჯერჯერობით არაფერი გიპოვნიათ. შემტევებს შეუძლია სულ რამდენიმე წამში შეაღწიონ სისტემაში, გააკეთონ თავისი საქმე, წაშალონ ლოგები და ისე გაქრნენ უკვალოდ რომ თქვენ ამის შესახებ ვერაფერი გაიგოთ სანამ მილიონობით მონაცემი არ გამოქვეყნდება სადმე შავ ბაზარზე ან თქვენი მომდევნო კონტრაქტი თქვენთვის აუხსნელი მიზეზით კრახს არ განიცდის. სიჩუმე ჰაკერთა მოქმედების განუყოფელი ნაწილია. როდესაც გუგლმა მისი ბრაუზერ chrome-ს კრიტიკული სისუსტის პოვნისთვის $1 მილიონი დოლარი დააწესა, Vupen Security-ს CEO-მ ჩაუკი ბეკრარმა განაცხადა: „ჩვენ გვაქვს ექსპლოიტი, მაგრამ მას მილიონად არ გავყიდით, თუნდაც იმიტომ, რომ ეს და მსგავსი სისუსტეები ჩვენს კლიენტებს სჭირდებათ, რომლებიც ბევრად მეტს იხდიან. ჩვენ არ გვაწყობს მათი გამოსწორება“.
  • თქვენ ალბათ არც იცით რეალურად სად არის თქვენი მონაცემები. ქლაუდ სერვისების პოპულარობის ზრდასთან ერთად, სასიცოცხლოდ მნიშვნელოვანი ხდება მჭიდრო კავშირების დამყარება ამ სერვისების მომწოდებელ მესამე მხარესთან. ყველაზე მნიშვნელოვანი აქტივების – მონაცემების – ქლაუდ სერვისზე განთავსებას დიდი ყურადღებით მოპყრობა სჭირდება. ბევრი კომპანია ტყუვდება დაბალი ფასებით და არამართებულ გადაწყვეტილებას იღებს მესამე მხარეებისთვის მონაცემების მინდობისას. ასე მაგალითად, ბრაზილია და საუდის არაბეთი უსაფრთხო და დაბალ ფასიან ოფშორულ ზონებად წარმოგვიდგება, მაგრამ კორუფციის საერთაშორისო ინდექსით ეს ქვეყნები უფრო დაბლა დგანან ვიდრე კუბა ან რუანდა, რაც ზრდის მონაცემთა გაყიდვის საფრთხეს.  Mandiant-ის ინფორმაციით, სისტემებში შეღწევის 90%-ზე მეტი მესამე მხარის მიზეზით ხდება.

ახლა, როდესაც CEO მოხსენით თანამდებობიდან, შეგიძლიათ თამამად მიუტრიალდეთ საბჭოს დანარჩენ წევრებს და თქვენი 10 წუთიანი პერიოდის ამოწურვამდე დარჩენილი დრო სიტყვით გამოსვლისთვის გამოიყენოთ:

CSO თანამედროვე კომპანიისთვის უფრო მნიშვნელოვანი აქტივია, ვიდრე CFO, რადგან სისტემაში შეღწევები ძალიან ძვირი ჯდება. 2011 წელს, SONY-ს მომხმარებელთა 77 მილიონიანი ბაზის გაჟონვამ, კომპანია $171 მილიონი დოლარით აზარალა. 2012 წელს კი ჰაკერების სისტემაში შეღწევა  Global Payments-ს $93.9 მილიონი დოლარი დაუჯდა, საიდანაც $35.9 მილიონი მარტო ჯარიმების გადახდაში დაეხარჯა.

შეახსენეთ საბჭოს, რომ ომში კომპანიას მეომრის მენტალობა სჭირდება. კარგმა CSO-მ უნდა გამოიყენოს საიდუმლო სტრატეგიები, დაიქირაოს მაღალი დონის ანალიტიკოსები, რომელთაც სჭირდებათ რეალური მხარდაჭერა, რესურსები და გარანტიები.

და ბოლოს, CSO-ს უნდა მიეცეს უფლება მართოს ხალხი, პროცესები და ტექნოლოგიები. ამ მართვის პროცესში კი ზოგჯერ მიიღოს თუნდაც არაპოპულარული მაგრამ საჭირო გადაწყვეტილებები. მაგალითად, დაბალ ფასიანი ქლაუდ სისტემის ნაცვლად გამოიყენოს შედარებით ძვირი მაგრამ კერძო ქლაუდ სისტემა, რომელიც უკეთ დაცული იქნება ამავე ინდუსტრიაში მოღვაწე მეტოქეებისგან.