Бизнес нельзя заставлять заниматься ИБ, его надо мотивировать или что такое социальная психология

Бизнес нельзя заставлять заниматься ИБ, его надо мотивировать или что такое социальная психология

Введение: громкие случаи и рекордные штрафы

Недавно мир облетела новость о возможном штрафе в 183 миллиона фунтов стерлингов для компании British Airways за утечку данных платежных карт полумиллиона клиентов. Это событие, наряду с аналогичным случаем с Marriott (штраф в 100 миллионов фунтов), знаменует новую эру в подходе к ответственности бизнеса за кибербезопасность.

Анализ кейсов: British Airways и Marriott

British Airways: двойной удар

В случае с BA ситуация осложняется тем, что компания пострадала дважды:

  1. Сначала были украдены деньги клиентов (что уже привело к коллективному иску).
  2. Затем последовал огромный штраф от регулятора за утечку данных.

Интересно, что есть версии о том, что взлом произошел не напрямую у BA, а через подрядчика или CDN-провайдера. Это поднимает вопрос об ответственности компаний за действия своих партнеров.

Marriott: наследие прошлых ошибок

Случай с Marriott интересен тем, что компания подверглась штрафу за утечку данных в сети Starwood, которую она приобрела. Это похоже на ситуацию, когда вы покупаете подержанный ноутбук с вредоносным ПО и несете за это ответственность. Данный случай подчеркивает важность тщательного аудита при слияниях и поглощениях.

Изменение парадигмы ответственности

Новый подход регуляторов означает, что компании теперь могут быть оштрафованы даже если они сами стали жертвами хакерских атак. Это кардинально меняет роль специалистов по кибербезопасности в организациях.

Новые приоритеты в кибербезопасности

В свете новых реалий компаниям необходимо пересмотреть свои подходы к кибербезопасности:

  • Усиление практики оценки соответствия при слияниях и поглощениях (due diligence).
  • Регулярный аудит безопасности привлекаемых подрядчиков.
  • Создание и активное использование команд red team для внутреннего тестирования безопасности.
  • Рассмотрение вариантов страхования киберрисков.

Мотивация vs наказание: что эффективнее?

Экономист Андрей Мовчан высказал важную мысль: бизнес нужно не заставлять, а мотивировать. Возникает вопрос: действительно ли огромные штрафы мотивируют бизнес улучшать кибербезопасность?

Пример разумного подхода

Интересен случай с румынским Юникредитбанком, оштрафованным на 130 тысяч евро за нарушение принципа минимизации данных по GDPR. Этот штраф выглядит более мотивирующим, чем карающим.

Сравнение подходов к штрафам за нарушения кибербезопасности

Российский подход: уголовная ответственность

В России вместо крупных штрафов введена уголовная ответственность за нарушения в сфере критической информационной инфраструктуры (КИИ). Это может привести к тому, что компании будут скрывать инциденты, а не улучшать свою кибербезопасность.

Заключение: неотвратимость vs жестокость

Ключевой принцип эффективного регулирования - не жестокость наказания, а его неотвратимость. Выборочное применение наказаний не создает нужной мотивации для бизнеса. Необходим более сбалансированный подход, учитывающий принципы социальной психологии и реальные потребности бизнеса в области кибербезопасности.

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Реальные атаки. Эффективные решения. Практический опыт.

Standoff Defend* — это онлайн-полигон, где ты сможешь испытать себя. Попробуй себя в расследовании инцидентов и поборись за победу в конкурсе

Присоединяйся и участвуй

*Защищать. Реклама. АО «Позитив Текнолоджиз», ИНН 7718668887

article-title

Алексей Лукацкий