С учетом постоянно растущего числа и потенциальной величины кибернетических, технологических и операционных рисков для организаций, оказывающих финансовые услуги, правление должно быть готово к реагированию на эти типы кризисов и обеспечению надлежащей защиты критически важных информационных активов организации.
Эта статья об эффективном управлении рисками: наборе навыков для управления кризисом.
Правление организаций, предоставляющих финансовые услуги, должны иметь четкие стратегии для управления безопасностью данных и информационных активов. От этого зависит не только стабильность компании, но и расширение финансовых рынков.
Повышение безопасности киберпространства в финансовой системе
Роли и обязанности совета директоров и высшего руководства, связанные с информационной безопасностью, должны быть четко определены, и совет директоров должен обеспечить, чтобы организация имела средства контроля для защиты своих информационных активов.
Требования кибербезопасности для компаний, предоставляющих финансовые услуги США
Каждая организация, предоставляющая финансовые услуги в США, должна оценивать “Профиль риска” и поддерживать программу кибербезопасности, предназначенную для защиты конфиденциальности, целостности и доступности своих информационных систем. Старшее руководство должно серьезно относиться к этому вопросу, неся ответственность за программу кибербезопасности организации и подавать ежегодный сертификат, подтверждающий соблюдение этих правил.
Судебные разбирательства после кибер-инцидентов часто приводят к утверждению, что исполнительные директора должны нести личную ответственность.
Если речь идет о финансовых услугах в Великобритании, некоторым лицам, не являющимся руководителями, может быть не совсем понятно, выполнили ли они свои обязательства перед фирмой в соответствии с режимом старших менеджеров и сертификации FCA (SMCR). Руководители и другие лица, принимающие решения, должны нести ответственность за любое нарушение кибербезопасности.
Можно ли подготовиться к кибер-атаке?
Британские исследования FCA выявили, что в контексте управления компаниями в Великобритании существует недостаточное понимание киберрисков.
Для того чтобы противодействовать неготовности к кибер-атаке на уровне правления (совета директоров) нужно создать специализированные подкомитеты и моделировать кибер-инциденты. Важно, чтобы советы директоров были полностью вовлечены в моделирование кризисной ситуации и понимали основные риски. Например, компании должны выделять адекватные ресурсы для ознакомления и обучения членов совета директоров, чтобы они обладали достаточными коллективными знаниями, навыками и опытом. Если вам нужна консультация юриста по финансовым рискам в USA, UK, EU, свяжитесь с нашими юристами, чтобы комплексно решить и юридические, и финансовые вопросы в разных странах мира. Эффективное управление финансовыми рисками в разы увеличивается, если кибер-технологии изучаются руководством, а возможные инциденты моделируются с участием управляющих менеджеров.
Подобные “военные игры” полезны для директоров, поскольку помогут руководству эффективно реагировать в кризисной ситуации.
План реагирования на инциденты, связанные с кибербезопасностью
Все организации должны иметь надежный, хорошо протестированный план реагирования на инциденты, связанные с кибербезопасностью.
Такое планирование должно включать 2 важных элемента:
Организация ролей во время кризиса. Роли должны быть сбалансированными. Если план слишком жесткий, то придерживаться его становится нецелесообразным. Лучше планировать разные варианты событий с детализацией разных типов инцидентов. Как правило, председатель правления будет играть ведущую роль в кризисе. Чтобы обеспечить кибербезопасность, нужен сбор информации.
Учитывая то, что кибер-инцидент может носить международный характер, нужны юридические услуги в разных юрисдикциях. Кроме этого, для получения нужной информации, нужны технические ресурсы, эффективная коммуникация. В идеале быстрый сбор информации может быть обеспечен группой разных специалистов. Юридические группы могут свои собственные, отдельные планы реагирования на юридические инциденты, чтобы управлять юридическими рисками кибератаки.
Внешняя коммуникация как элемент кибербезопасности
Важнейший элемент обеспечения информационной безопасности. Цель подготовки к внешней коммуникации в случае кибер-атаки состоит в том, чтобы обученный член правления не сказал в публичном пространстве ничего, что может навредить репутации, но в то же время смог проинформировать клиентов необходимой информацией. В этом контексте нужен усиленный мониторинг средств массовой информации и социальных сетей, чтобы избежать репутационных и финансовых последствий.
Коммуникационная роль в кибер-инциденте должна быть заранее распределена, чтобы конкретный менеджер знал, как действовать в определенной кризисной ситуации.
Интересно! Требования к информационной кибербезопасности в Сингапуре определены так, что в случае кибериндицидента компания должна раскрыть эту информацию в течение 1 часа. В США любая попытка несанкционированного доступа к информации финансовой компании должна быть раскрыта DFS в течение 72 часов.
Необходимые шаги после завершения кризиса
Нарушение информационной безопасности имеет длинный “хвост” - могут пройти годы до репутационного и финансового восстановления. Чтобы оправдать ожидания клиентов и общественности, нужно извлечь уроки и обновить антикризисный план. Отсутствие адекватного и своевременного реагирования руководством компании может привести к еще одной кибератаке.
Выводы
Конечно, невозможно спланировать все ситуации. Но управление digital рисками в финансовых компаниях США, ЕС, UK, должно быть продуманным и спланированным. Управление данными все более значительно. Современные технологии (блокчейн, искусственный интеллект) существенно и быстро меняют реалии управления бизнесом. Если у вас пока нет стратегии и плана информационной безопасности вашего бизнеса, то вам нужна консультация юриста не только в сфере стандартных юридических вопросов, но также в сфере защиты информации от современных кибератак.