AI може да помага в кибер-защитата, но да не забравяме, че CISO и бизнес-мениджърите – а не изкуственият интелект – носят отговорност пред регулаторните органи и акционерите (графика: CC0 Public Domain)
За да управляват ефективно риска и да си осигурят съгласието на топ-мениджмънта, главните ръководители по киберсигурност трябва да спрат да говорят за технологии и да възприемат езика на бизнеса, съветват експерти.
Преодоляването на разликата между киберсигурността и програмите за управление на корпоративния риск е ключов приоритет за специалистите по риска, според Джаянт Дейв, главен директор по информационна сигурност (CISO) на Check Point за Азиатско-тихоокеанския регион.
Преди две десетилетия киберсигурността се фокусираше върху периметровата защита, като например защитни стени и системи за откриване на прониквания. По това време киберстратегиите се считаха за част от управлението на технологичния риск. Сега обаче е различно.
Повече бизнес риск, отколкото технологичен
„През 2025 г. киберсигурността се е превърнала много повече в бизнес-риск, отколкото в технологичен риск“, казва Дейв. „Как свързвате характеристиките на риска за киберсигурността по отношение на финансов риск, репутационен, оперативни и стратегически рискове?“
Кибер-лидерите трябва да разбират бизнесите, които защитават. „Като CISO трябва да започнете да говорите бизнес-езика. Именно на него се провеждат разговорите на ниво борд“, отбелязва Дейв.
В същото време регулациите изискват топ-мениджмънтът вече да носи отговорност и за кибер-рисковете. Това означава, че технологичните лидери трябва да разбират бизнеса, а бизнес-лидерите трябва да разбират техническите аспекти.
В по-слабо регулираните индустрии все пак може да има липса на осведоменост от страна на борда. Това означава, че инвестициите в киберзащита „може да не са приоритетни“.
Важно съображение е, че контролите за сигурност не трябва да влияят на потребителското изживяване, предупреждава Дейв. В противен случай потребителите ще търсят начини да ги заобиколят.
„Като кибер-лидер понякога трябва да бъдете иновативни, да правите определени неща по безопасен и надежден начин, без да това да се отразява на потребителското изживяване“, казва Дейв. „Тук влиза в действие съгласуваността“.
Организационни промени
Друго предизвикателство възниква, когато едно предприятие е организирано в множество бизнес-звена. Дейв предлага във всяко звено да бъде вграден главен директор по риска (CRO), който да служи като доверен съветник по въпросите, свързани с риска, помагайки за изначално съгласуване на технологиите и бизнес-риска.
Създаването на своеобразни „обединителни центрове“ може също да помогне за преодоляване на разликата между бизнес и информационната сигурност. Подобен център би обединявал „добрите защитници, които разбират основите на киберсигурността“, с техни колеги, които са запознати с бизнес-измамите, оперативния риск и правните въпроси и тези, свързани с регулаторното съответствие.
Техническият екип определя количествено риска от техническа гледна точка, докато бизнес-екипът разглежда проблемите от бизнес гледна точка. По този начин „общата таксономия на риска се съгласува“. Срещите на обединителния център могат да се провеждат ежедневно, седмично или месечно, а дейностите им трябва да включват кибер-упражнения. Тези упражнения обаче трябва да бъдат проектирани така, че да разглеждат бизнес-рисковете.
Например, техническият аспект на разпределена атака тип „отказ от услуга“ (DDoS) е по-малко важен от нейното въздействие върху бизнеса. Тук трябва да се оценят бизнес-щетите. Засяга ли критичната инфраструктура? Каква е потенциалната бизнес загуба? Колко клиенти са засегнати? Това знание позволява на техническия екип да разбере къде са най-необходими защитните мерки и помага на бизнес-екипите да разберат естеството и последиците от евентуалните атаки.
„Това няма да е еднократно упражнение; то ще бъде непрекъснато движение“, за да се гарантира, че всеки разбира ролята си в случай на криза, казва Дейв.
Способност за бърза реакция
Въпреки че превенцията е на първо място, киберустойчивостта изисква и способност за бързо реагиране и възстановяване, когато възникне криза.
Но техническите мерки не винаги са достатъчни. Дейв дава пример със скорошни инциденти, при които, въпреки стабилните защити, е била открадната лична информация чрез атаки чрез социално инженерство. Когато се случва подобно нещо, става въпрос за наличието на всеобхватни планове за реагиране при инциденти, бързото им прилагане и извличане на поуки от инцидента, за да се намали вероятността той да се случи отново.
Дейв посочва, че изкуственият интелект може да помогне на защитниците да реагират по-бързо, но все пак е необходимо да разполагат с правилните умения. В крайна сметка CISO и бизнес-мениджърите – а не изкуственият интелект – носят отговорност пред регулаторните органи и акционерите.
Въпреки че в някои организации е налице високо ниво на зрялост в киберсигурността, като цяло зрелостта не е „равномерно разпределена“. Правителствата и регулираните индустрии са добре запознати с проблемите. Ала малките и средните предприятия, дори да са наясно с проблематиката, може да нямат бюджета да се справят с всичко.
Например, на места някои здравни предприятия все още използват Windows XP. „На макро ниво, да, хората са наясно“, казва Дейв. „Но когато се вгледате по-отблизо в конкретни сектори, определено има области за подобрение“.
Той предупреждава да не се изграждат системи с изкуствен интелект върху „слаби основи“. Това би означавало уязвимост – още по-голяма възможност за злонамерените лица.