Неудивительно, что кибер-риски становятся важным фактором при выставлении кредитных рейтингов. За последние шесть месяцев мы, в агентстве S&P Global Ratings, увидели больше киберсобытий, важных для кредитного рейтинга, чем за предыдущие шесть лет. И мы постоянно осмысляем новые кибер-события, чтобы уточнить наши подходы. Хотя наши последние выводы подкрепляют многие из сделанных ранее наблюдений, наши взгляды на управление киберрисками продолжают эволюционировать.

Многие из рейтингуемых нами организаций (особенно в сфере информационных технологий и страхования) сегодня видят новые возможности, открывающиеся в секторе кибер-услуг. Однако этим компаниям было бы полезно предпринять несколько шагов, помогающих уменьшить потенциальное влияние кибератак на их кредитоспособность.

Во-первых, критически важно действовать быстро. Доказательство этому мы увидели недавно после кибератаки на американского страховщика CNA. Быстрые антикризисные меры этой компании, в том числе общение с работниками, клиентами, брокерами, агентами, инвесторами и регуляторами, помогли уменьшить масштабы ущерба и успокоили наши изначальные тревоги по поводу потенциального влияния этой атаки на её бренд, репутацию и конкурентные позиции.

Во-вторых, хотя активное предотвращение киберсобытий сегодня становится нормой, многие кибератаки структурируются таким образом, чтобы их было как можно труднее обнаружить. И поэтому активная работа по выявлению атак станет конкурентным преимуществом.

Примером важности активного обнаружения атак стал случай с компанией SolarWinds Holdings Inc. Широко писалось о том, что эта компания подверглась кибервзлому в начале 2020 года, то есть за несколько месяцев до того, как она заметила факт этого взлома. Длительное время, прошедшее с момента атаки до её обнаружения, привело к увеличению масштабов кибер-события. Последствия и издержки этой атаки отчасти стали причиной недавнего снижения агентством S&P рейтинга SolarWinds с B+ до B.

В-третьих, хотя пандемия Covid-19, скорее всего, повысит склонность топ-менеджеров выделять средства на управление кибер-рисками своих компаний, этого будет недостаточно. Значительная часть кибер-взломов объясняется низким качеством культуры риск-менеджмента или человеческими ошибками, поэтому резкого увеличения IT-расходов будет мало. Одними деньгами нельзя устранить этот риск. Именно поэтому мы ожидаем, что топ-менеджмент будет активней проводить имитационные учения с целью оценить и проверить уровень готовности.

В-четвёртых, последствия кибератаки для кредитоспособности зависят от типа атаки и её базовых мотивов. Компании могут стать косвенной жертвой централизованных (возможно, политически мотивированных) атак, как это было, например, в случаях с SolarWinds и Microsoft Exchange Server. Такие атаки не всегда приводят к прямым финансовым и репутационным последствиям. Выше вероятность влияния на рейтинг у прямых атак на конкретные компании или организации, когда финансовое событие сочетается с существенными сбоями в работе, особенно если компания плохо справляется с возникшими проблемами.

В-пятых, компании вступили в виртуальную гонку вооружений с хакерами, поэтому им необходимо знать азы кибер-рисков, если они хотят, чтобы у них был шанс оставаться на шаг впереди. Компании со стандартами управления на уровне значительно ниже среднего, скорее всего, будут иметь сравнительно низкие кредитные рейтинги даже до любой кибератаки. Мы будем обращать больше внимания на низкое качество стандартов управления кибер-рисками, в том числе отсутствие его базовых элементов, таких как тренинги сотрудников и устранение прорех в программном обеспечении. Адекватное и своевременное устранение компаниями лазеек в компьютерных программах сокращает потенциальную опасность уже известных компьютерных уязвимостей, которыми часто пытаются воспользоваться хакеры.

Мы относим управление кибер-рисками к категории общего операционного риск-менеджмента. Компании способны с лёгкостью адаптировать традиционный и стандартный риск-менеджмент и корпоративное управление, именно поэтому им важно правильно оценивать свой аппетит к кибер-рискам и уровень терпимости к ним. Если компания не способна быть на шаг впереди, она, по крайней мере, обязана убедиться, что не отстаёт от своих конкурентов. Как минимум мы ожидаем, что у любой компании имеется надёжная и полностью протестированная резервная копия базы данных, а также стратегия восстановления после атаки.

В-шестых, следующая крупная угроза для глобальной финансовой системы легко может оказаться связанной с кибер-миром, причём одновременно будет возникать больше рисков, а заражение будет более быстрым, чем сегодня ожидается. Компании и правительства должны к этому надлежащим образом готовиться. В зависимости от масштаба и финансового эффекта подобного события (а также успешности антикризисных мер) оно может спровоцировать множество изменений в кредитных рейтингах. Компании с более слабыми балансами, не имеющие адекватной кибер-страховки, с большей вероятностью будут испытывать проблемы с кредитным рейтингом.

В свою очередь страховые компании на ходу пытаются извлечь уроки из спровоцированной пандемией неопределённости, связанной с их продуктами, поэтому они обязаны оставаться предельно внимательными. Кибератака на фондовую биржу Новой Зеландии в августе 2020 года не должна была стать неожиданностью, учитывая важную роль, которую эта биржа играет в финансовой системе. В дальнейшем она признала, что её технологические ресурсы и антикризисное планирование нуждаются в улучшениях.

Наконец, события последних 12 месяцев продемонстрировали уязвимость сложных, взаимозависимых производственных сетей, поэтому в предстоящие годы производственные цепочки станут источником повышенных кибер-рисков. Как показал целый ряд недавних атак, в том числе на SolarWinds, Microsoft Exchange Server и Codecov, а также совершённый в 2013 году взлом розничной сети Target, управление кибер-рисками должно охватывать широкие производственные цепочки, включая контроль за кибер-стандартами у сторонних поставщиков.

Компания должны сделать частью своей ДНК извлечение уроков из уже совершённых кибератак и активные меры по предотвращению и обнаружению будущих угроз. Учитывая важность качества управления кибер-рисками для кредитного рейтинга, польза надёжной кибербезопасности явно не будет ограничиваться лишь цифровой сферой.

Саймон Эшворт – главный аналитик по страхованию в S&P Global Ratings.

via | www.project-syndicate.org