Главните директори по ИТ сигурността имат 1:4 шанс да запазят позицията си след успешна атака с рансъмуер, според нови данни. Констатациите са зов за събуждане за CISO, независимо от това с какви ресурси разполагат и колко успешно изпълняват задълженията си.
„Тази статистика не е изненадваща, но отразява нарастващо разочарование на ниво топ-мениджмънт, когато функцията по сигурността не успява да постигне резултати, независимо колко справедлива може да е тази преценка“, твърди Ерик Авакиан, технически съветник в Info-Tech Research Group.
„Дори ако атаката се дължи на фактори извън техния пряк контрол, все още има очакване от заинтересованите страни, че CISO трябва да могат да предотвратят всеки лош сценарий“, допълва той.
Според него, решението за отстраняване на CISO след рансъмуер атака понякога е необходимо и подходящо, но компаниите често вземат решения за прекратяване твърде бързо.
„Уволнението на CISO може да изглежда като необходимо „рестартиране“ за мениджърите на високо равнище, но не винаги е стратегически ход. Ако планът за реагиране при инциденти е бил спазен, инструментите за откриване са работили и възстановяването е било в рамките на договорните споразумения, тогава замяната на CISO изпраща грешно послание към екипите“, коментира Авакян.
„Това показва, че ролята на CISO е по-скоро визуална, отколкото същностна. Но ако основната хигиена е била пренебрегната – например няма сегментиране, няма резервни копия и т.н. – тогава смяната може да е оправдана“, казва той.
В някои случаи директорите по ИТ сигурността напускат по собствено желание след успешна рансъмуер атака, което води до по-висок брой замени, предупреждава Франк Диксън, вицепрезидент на групата по сигурността в IDC.
„Справянето с рансъмуер инцидент е изключително изтощително. Служителят по сигурността може да избере да напусне поради прегаряне или да бъде помолен да напусне поради конфликт, произтичащ от процеса на отстраняване, а не от самата атака“, казва Диксън.
Диксън също така твърди, че авторитетът на CISO трябва да „влезе в действие“. Ако решенията в организацията се вземат на ниво бизнес – и потенциално против препоръките на главния специалист по киберзащитата – има ли корпоративен смисъл да се обвинява CISO?
Авакиан от Info-Tech сравнява подобна корпоративна реакция със собственик на жилище, който обвинява пожарната, ако къщата му е изгоряла по негова вина.
„Кога за последен път видяхте капитан на пожарната да бъде уволнен или екипът му да бъде обвинен за възникването на пожар? Те са тези, които са реагирали, смекчили са последиците, образовали са ги и са помогнали за минимизиране на бъдещия риск от пожар“, казва Авакиан.
„Сега погледнете добре на своя екип по сигурността и на неговия ръководител – това са вашите пожарникари. Те ви пазят и са тук, за да помогнат, когато има инцидент“, допълва той.
Диксън подчертава, че много бизнес звена на предприятията – дори някои изпълнителни директори и оперативни директори – заобикалят CISO, като умишлено не ги канят на ключови срещи, от страх, че ще забавят определени бизнес-процеси. „Мениджърите могат да решат да не включват киберзащитниците в своите заседания“, казва той.
В доклада, изготвен от Sophos, твърди, че криминалистичните разследвания след рансъмуер атаки често откриват проблеми, които CISO е пропуснал или е трябвало да знае.
„За трета поредна година жертвите идентифицират експлоатирани уязвимости като най-честата причина за рансъмуер инциденти. Те биват използвани за проникване в организациите при 32% от атаките. Компрометираните идентификационни данни остават вторият най-често използван вектор на атака, въпреки че процентът на атаките, използващи този подход, е спаднал от 29% през 2024 г. до 23% през 2025 г.“, казват авторите на доклада.
„Имейлът остава основен вектор на атака. 19% от жертвите съобщават за злонамерен имейл като основна причина, а други 18% посочват фишинг – забележителен скок от миналогодишните 11%“, разкрива анализът.
Като цяло „40% от анкетираните казват, че рансъмуер атаката произтича от „известна празнина, която не сме адресирали“, пояснява Чет Вишневски, директор на Sophos и глобален CISO. „Трудно се преживява подобно нещо, ако ти се е случило събитие, което коства милиони долари“, казва той.
