Page ID: 1241
Is Industry:
Is Category:
Query IDs:
Мир данных

Проблемы рынка кибербезопасности и их решение на примере рынка подержанных машин

Фото: Unsplash

Компании тратят на кибербезопасность все больше и больше, но все равно не могут чувствовать себя защищенными - количество успешных кибератак также растет. Почему? Аналитики из Debate Security уверены, что проблема в самом рынке кибербезопасности и чтобы объяснить ее и найти решение, ссылаются на работу Нобелевского лауреата Джорджа Акерлофа

Мы тратим все больше и больше средств на то, чтобы защитить себя от цифровых атак. Ожидается, что суммарные мировые затраты на кибербезопасность вырастут к 2030 году до $433 млрд в год. В 2020 году, на пике пандемии, мировые руководители продолжают считать риски кибератак для своих организаций третьим по величине риском. Это приводит к значительным инвестициям: стартапы в области кибербезопасности получают в год $9 млрд нового финансирования.

Но увеличение инвестиций не ведет к уменьшению рисков. Число атак продолжает расти, и регуляторы, отраслевые руководители и сообщество «безопасников» начинают задаваться вопросом : почему?

Многие начинают понимать, что настоящая проблема не в технологиях, а в экономике. Еще в 2009 году Комитет Палаты представителей США по внутренней безопасности убеждал администрацию Обамы вмешаться в «рыночно ориентированный подход», который они считали «неподходящим» для защиты американских активов и настаивали на ужесточении регулирования.

Последнее исследование Debate Security, проведенное с участием сообщества экспертов по кибербезопасности Всемирного экономического форума, показывает, что рынок кибербезопасности сломан. Он стал «рынком «лимонов», выражаясь в терминах фундаментального исследования Нобелевского лауреата в области экономики Джорджа Акерлофа, которое он написал в 1970 году. Его исследование было основано на рынке подержанных автомобилей и объясняло, почему новый автомобиль теряет 30% своей стоимости, как только вы выезжаете на нем за ворота автосалона.

Эта теория стоит на том, что покупатели не способны отличить «сливу» (на жаргоне – подержанный автомобиль хорошего качества) от «лимона» (на том же жаргоне – подержанный автомобиль со скрытыми дефектами), и потому предпочитают платить за автомобиль среднюю цену между стоимостью «сливы» и «лимона». Это неизбежно приводит к тому, что товары более высокого качества вымываются с рынка.


Проблема в самом рынке

Эффективная стратегия кибербезопасности заключается в том, чтобы всегда быть на шаг впереди атакующих. Многие организации нанимают специального заместителя гендиректора по кибербезопасности (Chief Information Security Officer, CISO), которому делегируют ответственность за эту работу и за эффективность инвестиций в четыре ключевые области:

  1. Стратегия: знание что и как нужно защищать
  2. Процессы: построение наиболее эффективных процедур с точки зрения безопасности
  3. Люди: найм правильных сотрудников, а также уверенность, что конечные пользователи предупреждены о рисках
  4. Технологии: установка надлежащего оборудования и ПО, чтобы обеспечить работу всего, указанного выше.

Отчет Debate Security указывает, что в области «технологий» у CISO есть фундаментальная проблема «ассиметричной информации». Он имеет дело с постоянными вызовами – противодействие атакам, развертывание систем безопасности в сложной корпоративной среде, предоставление информации правлению для решений о том, как именно компания будет исполнять нормы законодательства, а также огромное количество новых вендорских решений. В итоге у перегруженного работой CISO не остается инструментов и ресурсов, чтобы принять правильное решение. А ключевой информацией на рынке продолжают владеть поставщики, а не покупатели.

С точки зрения поставщиков рынок также представляется довольно изломанным, а его плотность постоянно растет. Каждый год на него выходят сотни новых компаний, что заставляет многих говорить о «пузыре кибербезопасности». Имея дело с такой высококонкурентной средой многие вынуждены выпускать новые решения слишком быстро и для очень широкого профиля пользователей, а затем создавать индивидуальный продукт, основанный на походе MVP (минимально жизнеспособного продукта).

 

Три способа решения проблемы

Сломанный рынок можно починить. Правительство может вмешаться с помощью таких инструментов, как регулирование, налоги и субсидии.

США решили проблему «лимонов» в торговле подержанными машинами принятием «лимонных законов», которые решают проблему асимметричности информации путем предоставления покупателю гарантии, потребительской защиты и ясной информации о пробеге и истории транспортного средства. Другие рынки справлялись с этой проблемой иначе. В качестве примера можно привести программы лояльности, награды «выбор потребителя» или веб-сайты с обзорами продуктов.

Вот три способа как сообщество экспертов кибербезопасности может починить свой сломанный рынок:

1. Независимый аудит

Создание инструментов для независимой верификации решений и услуг в области кибербезопасности — это первый способ решения проблемы. Однако его сложно реализовать. Проведение оценки должно быть чисто технологическим, и поскольку у поставщиков нет особого стимула, чтобы участвовать в ней, то потребуется государственное регулирование или организация торговой ассоциации. И даже тогда эти мероприятия окажутся недоступны для маленьких компаний, которые уже борются с такими проблемами, как бюджет на безопасность, необходимость большей защиты со стороны государства и специфическое отраслевое регулирование.

2. Улучшение корпоративного управления

Многие члены правления, когда слышат о рисках, связанных с кибербезопасностью, все еще верят, что это область чуть ли не эзотерических знаний. Такое положение нужно менять. Когда они сталкиваются с вопросом, который они считают слишком техническим, то слишком часто перекладывают ответственность на перегруженную работой команду «безопасников», на большие консультации, на требования соблюдения законодательства или на рейтинги, проспонсированные участниками отрасли. Руководителям корпораций нужны более эффективные инструменты, руководства и полная подотчетность, чтобы управлять вопросами кибербезопасности так же эффективно, как и другими корпоративными рисками.

3. Предложение юридической защиты и передачи ответственности

Для того чтобы кардинально изменить b2b-рынок может потребоваться более фундаментальное вмешательство. Настоящие изменения могут произойти только благодаря гораздо более действенным положительным стимулам, связанным с защитой покупателей. Речь идет о таких вещах, как защита от ответственности, страхование, гарантии и юридическая защита в случае, если решение не справилось со своей задачей. Этот путь тоже может оказаться непростым, тем более что некоторые считают, что сегодня лишь несколько исков отделяют от катастрофы отрасль страхования кибер-рисков.

Кибербезопасность – это комплексная проблема, и рынок все еще относительно незрелый. Осознание проблемы – это уже первый шаг. Экосистема кибербезопасности будет одной из самых важных в Четвертой индустриальной революции, и сейчас самое время понять, может ли наш рынок сам, без вмешательства извне, помочь миру в его стремлении обрести уверенность в безопасности наших цифровых систем.


Уильям Диксон

Глава подразделения Сетей и технологий будущего, Всемирный экономический форум