В отчете Всемирного экономического форума «Глобальный прогноз кибербезопасности 2025» освещаются такие ключевые проблемы, как дефицит навыков, риски третьих лиц и различия в устойчивости между предприятиями и частным сектором.
В докладе Всемирного экономического форума (ВЭФ) «Глобальные перспективы кибербезопасности 2025» рассматриваются проблемы и последствия, вызванные все более сложной глобальной ситуацией в сфере кибербезопасности.
Проблемы в первую очередь возникают из-за новых технологий, растущей криминальной изощренности (как финансово мотивированных, так и связанных с государством групп), удлинения цепочек поставок, геополитической напряженности, регулирования и сохраняющегося разрыва в навыках. Основным следствием является отсутствие достаточной устойчивости среди компаний и даже государств.
Необходимость устойчивости в кибербезопасности является одной из основных тем отчета. Однако влияние проблем на различные уровни корпоративной и национальной готовности приводит к большому неравенству в этой киберустойчивости.
Например, по данным ВЭФ, устойчивость малых компаний снижается. Тридцать пять процентов считают, что в настоящее время она недостаточна, но это семикратный рост с 2022 года. Между тем, устойчивость крупных компаний снизилась почти вдвое.
Аналогичное неравенство существует между государственным и частным секторами. Тридцать восемь процентов респондентов из государственного сектора сообщили о недостаточной устойчивости, в то время как только 10% средних и крупных компаний частного сектора сообщили о том же. Почти половина организаций государственного сектора также предположили, что разрыв в навыках, возможно, является основной причиной; по сравнению с одной третью организаций в прошлом году.
ВЭФ согласен с этой оценкой навыков: «Все эти проблемы усугубляются увеличивающимся разрывом в навыках, что делает чрезвычайно сложным эффективное управление киберрисками». Но так называемый «разрыв в навыках» — это туманная всеобъемлющая фраза, часто используемая в качестве оправдания. Дело не в том, что квалифицированных людей не существует, а в том, что их не нанимают — вероятно, из-за нежелания заполнить вакансию тем, кто не на 100% идеально подходит для точно определенной должности, сочетая квалификацию с опытом и готов согласиться на низкую стартовую зарплату.
Нежелание или неспособность платить приемлемую заработную плату, чтобы компенсировать дефицит навыков, подтверждается тем, что это в первую очередь проблема малых организаций и государственного сектора, а не средних и крупных организаций.
Помимо этого пробела в навыках, основными причинами отсутствия устойчивости являются управление рисками третьей стороны, сложность ландшафта угроз и сложность внутренней ИТ-экосферы (слияние ИТ и ОТ ). Возможно, это покажется удивительным, но отсутствие готовности к реагированию на инциденты является серьезной проблемой только для небольших компаний.
Слабость отчета ВЭФ в том, что он в первую очередь сообщает нам то, что уже известно специалистам по безопасности. Это неудивительно, поскольку информация, которую он предоставляет специалистам по безопасности, была собрана у самих специалистов по безопасности.
Например, чтобы противостоять риску третьих лиц, нам нужно повысить прозрачность и улучшить управление рисками третьих лиц (что вряд ли является новым предложением). Нам нужно принять новые технологии ИИ, чтобы противостоять новым угрозам ИИ (хотя эти две технологии, вероятно, уже сводят друг друга на нет, что приводит к тому, что производители ИИ становятся основными бенефициарами). Нам нужно усилить наше соответствие нормативным требованиям (хотя это отвлекает ресурсы на сложную и не всегда последовательную сеть государственных, национальных и международных требований, которая сама по себе не обеспечивает защиту). Для экономической устойчивости нам нужно принять киберстрахование (хотя страховая отрасль должна изымать больше денег у страхователей, чем выплачивает им).
Отчет, опубликованный за неделю до ежегодного собрания ВЭФ в Давос-Клостерсе (Швейцария), был в основном составлен на основе анкетирования, заполненного 321 респондентом, 43 индивидуальных интервью с руководителями высшего звена, двух 90-минутных семинаров и обсуждений со 170 руководителями, принявшими участие в ежегодном собрании ВЭФ по кибербезопасности в ноябре 2024 года.
Реальная проблема, которую нужно решать, заключается не в том, почему и как перспективы кибербезопасности настолько сложны — мы уже знаем это и причины этого — а в том, почему компании не могут (или им не позволяют) решать или смягчать эти проблемы. И ответ на это может быть за пределами компетенции специалистов по кибербезопасности и больше внутри более широкой компетенции ВЭФ по глобальным экономическим условиям.
