Reviews
Возросшее значение кибербезопасности для кредитоспособности
Неудивительно, что кибер-риски становятся важным фактором при выставлении кредитных рейтингов. За последние шесть месяцев мы, в агентстве S&P Global Ratings, увидели больше киберсобытий, важных для кредитного рейтинга, чем за предыдущие шесть лет. И мы постоянно осмысляем новые кибер-события, чтобы уточнить наши подходы. Хотя наши последние выводы подкрепляют многие из сделанных ранее наблюдений, наши взгляды на управление киберрисками продолжают эволюционировать.
Многие из рейтингуемых нами организаций (особенно в сфере информационных технологий и страхования) сегодня видят новые возможности, открывающиеся в секторе кибер-услуг. Однако этим компаниям было бы полезно предпринять несколько шагов, помогающих уменьшить потенциальное влияние кибератак на их кредитоспособность.
Во-первых, критически важно действовать быстро. Доказательство этому мы увидели недавно после кибератаки на американского страховщика CNA. Быстрые антикризисные меры этой компании, в том числе общение с работниками, клиентами, брокерами, агентами, инвесторами и регуляторами, помогли уменьшить масштабы ущерба и успокоили наши изначальные тревоги по поводу потенциального влияния этой атаки на её бренд, репутацию и конкурентные позиции.
Во-вторых, хотя активное предотвращение киберсобытий сегодня становится нормой, многие кибератаки структурируются таким образом, чтобы их было как можно труднее обнаружить. И поэтому активная работа по выявлению атак станет конкурентным преимуществом.
Примером важности активного обнаружения атак стал случай с компанией SolarWinds Holdings Inc. Широко писалось о том, что эта компания подверглась кибервзлому в начале 2020 года, то есть за несколько месяцев до того, как она заметила факт этого взлома. Длительное время, прошедшее с момента атаки до её обнаружения, привело к увеличению масштабов кибер-события. Последствия и издержки этой атаки отчасти стали причиной недавнего снижения агентством S&P рейтинга SolarWinds с B+ до B.
В-третьих, хотя пандемия Covid-19, скорее всего, повысит склонность топ-менеджеров выделять средства на управление кибер-рисками своих компаний, этого будет недостаточно. Значительная часть кибер-взломов объясняется низким качеством культуры риск-менеджмента или человеческими ошибками, поэтому резкого увеличения IT-расходов будет мало. Одними деньгами нельзя устранить этот риск. Именно поэтому мы ожидаем, что топ-менеджмент будет активней проводить имитационные учения с целью оценить и проверить уровень готовности.
В-четвёртых, последствия кибератаки для кредитоспособности зависят от типа атаки и её базовых мотивов. Компании могут стать косвенной жертвой централизованных (возможно, политически мотивированных) атак, как это было, например, в случаях с SolarWinds и Microsoft Exchange Server. Такие атаки не всегда приводят к прямым финансовым и репутационным последствиям. Выше вероятность влияния на рейтинг у прямых атак на конкретные компании или организации, когда финансовое событие сочетается с существенными сбоями в работе, особенно если компания плохо справляется с возникшими проблемами.
В-пятых, компании вступили в виртуальную гонку вооружений с хакерами, поэтому им необходимо знать азы кибер-рисков, если они хотят, чтобы у них был шанс оставаться на шаг впереди. Компании со стандартами управления на уровне значительно ниже среднего, скорее всего, будут иметь сравнительно низкие кредитные рейтинги даже до любой кибератаки. Мы будем обращать больше внимания на низкое качество стандартов управления кибер-рисками, в том числе отсутствие его базовых элементов, таких как тренинги сотрудников и устранение прорех в программном обеспечении. Адекватное и своевременное устранение компаниями лазеек в компьютерных программах сокращает потенциальную опасность уже известных компьютерных уязвимостей, которыми часто пытаются воспользоваться хакеры.
Мы относим управление кибер-рисками к категории общего операционного риск-менеджмента. Компании способны с лёгкостью адаптировать традиционный и стандартный риск-менеджмент и корпоративное управление, именно поэтому им важно правильно оценивать свой аппетит к кибер-рискам и уровень терпимости к ним. Если компания не способна быть на шаг впереди, она, по крайней мере, обязана убедиться, что не отстаёт от своих конкурентов. Как минимум мы ожидаем, что у любой компании имеется надёжная и полностью протестированная резервная копия базы данных, а также стратегия восстановления после атаки.
В-шестых, следующая крупная угроза для глобальной финансовой системы легко может оказаться связанной с кибер-миром, причём одновременно будет возникать больше рисков, а заражение будет более быстрым, чем сегодня ожидается. Компании и правительства должны к этому надлежащим образом готовиться. В зависимости от масштаба и финансового эффекта подобного события (а также успешности антикризисных мер) оно может спровоцировать множество изменений в кредитных рейтингах. Компании с более слабыми балансами, не имеющие адекватной кибер-страховки, с большей вероятностью будут испытывать проблемы с кредитным рейтингом.
В свою очередь страховые компании на ходу пытаются извлечь уроки из спровоцированной пандемией неопределённости, связанной с их продуктами, поэтому они обязаны оставаться предельно внимательными. Кибератака на фондовую биржу Новой Зеландии в августе 2020 года не должна была стать неожиданностью, учитывая важную роль, которую эта биржа играет в финансовой системе. В дальнейшем она признала, что её технологические ресурсы и антикризисное планирование нуждаются в улучшениях.
Наконец, события последних 12 месяцев продемонстрировали уязвимость сложных, взаимозависимых производственных сетей, поэтому в предстоящие годы производственные цепочки станут источником повышенных кибер-рисков. Как показал целый ряд недавних атак, в том числе на SolarWinds, Microsoft Exchange Server и Codecov, а также совершённый в 2013 году взлом розничной сети Target, управление кибер-рисками должно охватывать широкие производственные цепочки, включая контроль за кибер-стандартами у сторонних поставщиков.
Компания должны сделать частью своей ДНК извлечение уроков из уже совершённых кибератак и активные меры по предотвращению и обнаружению будущих угроз. Учитывая важность качества управления кибер-рисками для кредитного рейтинга, польза надёжной кибербезопасности явно не будет ограничиваться лишь цифровой сферой.
Саймон Эшворт – главный аналитик по страхованию в S&P Global Ratings.
Instituții:
Publicaţia periodică "Monitorul Fiscal FISC.MD"
„Acest articol aparține exclusiv P.P. „Monitorul fiscal FISC.md” și este protejat de Legea privind drepturile de autor.
Orice preluare a conținutului se face doar cu indicarea SURSEI și cu LINK ACTIV către pagina articolului”.
The account successfully was created. To confirm the registration, type the confirmation link wich was sent to your e-mail indicated in registration form, valid for up to 30 days.
Adress to us a question
You want to obtain an answer or you will can to suggest as an article necessary for your work process? Sign in on the page, send your question or suggest and obtain the answer from the experts in the shortest time, at your e-mail or published in the compartment „Questions and answers”.
E-mail *
Submit the services by phone
Include correct the dates who are requested and in short time you will be contacted by an operator
First name *
Last name *
E-mail *
Phone *
Feedback
To monitor the status of sent Feedback, initial we recommend to you to do sign in on the page. So, the answer at PP „Monitorul Fiscal FISC.md” at feedback will be save and will be displayed in your personal profile. If the feedback is sent an you aren't authentificated on the page, the message will be sent tot your e-mail.
E-mail *
Dear user
For further improvements, please write a feedback about the quality and availability of the services provided from the site and user interface.
1081 views
The date of publishing:
24 June /2021 08:00
Catalogul tematic
Noutăți
Tags:
кибер атака | кибербезопасность | monitorul.fisc.md
0 comments
Only users registered and autorized they have the right to post comments.