Одним из обязательных элементов комплаенса в современных компаниях является кибербезопасность.
С ростом количества и объёма используемых информационых технологий резко увеличиваются риски цифровых атак на системы, сети и приложения. В арсенале киберпреступников — целевые высокоточные атаки, шпионаж, фишинг, майнинг криптовалют на взломанных ресурсах и многое другое. На рынке вредоносного программного обеспечения предложение всё новых инструментов растёт с каждым днём. Сейчас киберпреступникам уже не обязательно быть компьютерными гениями. Достаточно зайти на соответствующую площадку «Тёмной сети» и купить те вредоносные программы, которые нравятся. А криптовалютные технологии предоставляют злоумышленникам удобные возможности как для приобретения вредоносного программного обеспечения, так и для монетизации своей добычи. Существует понятие кибергигиены. Под ним подразумевается обязательное исполнение базисных принципов цифровой безопасности при работе в информационной среде. Однако, как и прочие гигиенические требования, правила кибергигиены по большей части выполняются неохотно и небрежно.
Слабым звеном систем кибербезопасности и защиты данных часто являются люди, сотрудники компаний. Хакерская группировка Cobalt, похитившая в 2016-2017 годах €1 млрд у сотни финансовых организаций из десятков стран, рассылала фишинговые письма с заражёнными файлами в банки, страховые компании и инвестфонды. Получатели, не раздумывая, скачивали вредоносные программы и их организации становились жертвами хакерских атак.
По мнению специалистов по комплаенсу, минимизировать кибер-риски, связанные с человеческим фактором, можно, проводя обучение и тренинг менеджмента и работников, в сочетании с мониторингом предупреждений и оповещений, которые в изобилии выдают программные средства кибербезопасности и которые люди ленятся отслеживать.
Для того, чтобы наладить эффективное обучение и тренинг сотрудников, необходимо учесть и систематизировать выявленные риски и разработать эффективную политику противодействия этим рискам. Такая политика должна, например, включать требования обязательной двухуровневой аутентификации, правила работы с паролями и с мобильными устройствами. Кибербезопасность компаний невозможна без выработки корпоративной культуры, безусловно признающей необходимость кибергигиены.
Обучение и тренинг должны быть конкретными и рискориентированными. Практика свидетельствует, что после проведения инструктажей количество загрузок работниками компаний вредоносных файлов снижается более чем вдвое. Существенная опасность заражения компьютерных систем возникает при передаче дел увольняющимися сотрудниками, особенно в организациях, практикующих дистанционную занятость. Выработка безопасных стандартов передачи данных при увольнении намного снижает данный риск. Таким образом, систематическое внедрение несложных, вроде бы, правил кибергигиены позволяет создавать эффективные комплаенс-системы, противодействующие киберугрозам.
