Роль совета директоров в кибербезопасности и защите информации

В современном мире, когда общество переходит на цифровые способы взаимодействия и государство нацелено на цифровую трансформацию во всех сферах вопрос защиты информации, кибербезопасности и цифровой гигиены становиться все актуальнее и острее.

Преступления в цифровом мире происходят все чаще и у нас на глазах, и все чаще они направлены не на организации финансовой сферы, а на крупный и уже малый бизнес. 

Атаки на коммерческий бизнес в наше время уже не новость.

Одна из самых массовых атак на российский сегмент произошла в 2023 году — раскрытие персональных данных 12 компаний за 3 дня. 6 июня 2023 года произошла крупная утечка персональных данных из 12 крупных компаний.  В итоге в общем доступе оказались персональные данные 20 миллионов человек: их имена, номера телефонов, e-mail адреса, пароли и другое.

Атаки на промышленные предприятия в основном практиковались за рубежом. В российском сегменте один из известных случаев целенаправленной и подготовленной атаки хакеров на предприятия промышленности произошел в мае 2021 года.
После февраля 2022 года количество атак на промышленные предприятия увеличилось.

Эти все примеры в основном из практики крупного бизнеса, открытие малого бизнеса и так сопряжено со множеством задач, вследствие чего большинство предпринимателей уделяют мерам цифровой безопасности недостаточно внимания. Всего лишь одна атака хакера может подорвать работу предприятия. По статистике, 60% компаний малого и среднего бизнеса закрываются в течение полугода после нападения киберпреступников.

На современных предприятиях большинство процессов, например, управление обрабатывающим оборудованием, отгрузка и логистика продукции, заключение договоров, общение сотрудников и т.п. — сегодня происходят онлайн.

Даже чтобы физически уничтожить предприятие, больше не важны физические методы воздействия и присутствие на объекте, достаточно одного хакера, который сидит на другом конце земли и вооружен исключительно доступом к сети и компьютером. Хотя надо сказать, такие атаки могут быть заранее подготовлены посредством физического проникновения на объект с целю создания точки доступа к объектам инфраструктуры компании.

С развитием интернета вещей стало возможно то, что трудно было раньше представить. Все больше технических средств получают возможности управления ими через интернет и как следствие, становятся потенциальным инструментом для злоумышленников для атак, шантажа и извлечения коммерческой выгоды.

Представьте, в современном мире, недобросовестному конкуренту не надо проникать на объекты бизнеса, чтобы причинить ему материальный ущерб: достаточно либо через интернет, либо просканировав беспроводные сети по периметру объекта, найти устройства, которыми можно управлять дистанционно и воспользоваться ими для нанесения ущерба, например, включить чайник через Wi-Fi для инициации пожара, или подключиться дистанционно к сложному технологическому оборудованию и запустить в нем процессы, которые повлияют на качество продукции, либо попросту уничтожат его. 

Роль совета директоров в защите от кибератак

Совет директоров — это один из ключевых органов по определению стратегических направлений деятельности компании.

Что естественно, в российском сегменте данным вопросом в первую очередь занялся государственный регулятор и озаботился он защищенностью публичных компаний.

Письмо Банка России от 10.04.2014 N 06-52/2463 «О Кодексе корпоративного управления» гласит, что совет директоров осуществляет стратегическое управление обществом, определяет основные принципы и подходы к организации в обществе системы управления рисками и внутреннего контроля, контролирует деятельность исполнительных органов общества, а также реализует иные ключевые функции.

Регулятором выпущены соответствующие Методические рекомендации по цифровой трансформации государственных корпораций и компаний с государственным участием, где указано, что при реализации цифровой трансформации госкомпаниями проводится определение рисков (ущерба) и угроз информационной безопасности, связанных с внедрением современных информационных технологий. При реализации цифровой трансформации госкомпаниями проводится оценка рисков (ущерба) и угроз информационной безопасности, реализация которых может привести к негативным последствиям для деятельности госкомпаний, в том числе к нарушению функционированию и утечке защищаемой информации.

Далее выпущены Рекомендации по участию совета директоров (наблюдательного совета) в процессах развития и управления информационными технологиями и управления риском информационной безопасности в публичном акционерном обществе (Приложение от 24.05.2019 N ИН-06-28/45).

С учетом целей и задач, стоящих перед обществом, а также характера и масштабов деятельности общества, уровня и специфики принимаемых рисков совету директоров рекомендуется рассмотреть вопрос о целесообразности создания:

• комитета по информационным технологиям;
• комитета по информационной безопасности.

В письме Банка России от 28 февраля 2019 года N ИН-06-28/18 «О руководстве для членов совета директоров (наблюдательного совета) финансовой организации» к ключевым функциям совета директоров финансовой организации отнесены: оценка влияния на бизнес организации новых информационных технологий, а также степени существенности для организации рисков, связанных с киберугрозами.

Если коротко обратить внимание к зарубежной практике, то из основного хочется выделить международно-признанные методологические основы организации внутреннего контроля и управления рисками, разработанные международной организацией по стандартизации ИСО и неправительственной организацией COSO. Требование к качеству информации стандартов COSO по сути содержат ключевые принципы информационной безопасности:

• Confidentiality = «конфиденциальность»
• Integrity = «целостность»
• Availability = «доступность»

Таким образом, среди важных задач совета директоров — мониторинг рисков для репутации и непрерывности бизнеса компании. В современном цифровом мире во многом устойчивость в этих областях обеспечивается рациональным подходом к системе управления информационной безопасностью. Ключевая задача совета директоров — направлять команду во главе с ЕИО на системное понимание рисков в т.ч. в области информационной безопасности и контролировать результаты работы системы.

Из российской практики работы в большинстве случаев вопросы в сфере информационной безопасности рассматриваются коллегиальными органами управления и контроля в кредитно-финансовых организациях. К таким вопросам относились в 2025 году, например:       

• Назначение на позицию CISO [CISO — Chief Information Security Officer, директор по информационной безопасности — стратегический лидер, который отвечает за защиту критически важных данных и активов организации от кибератак] Заместителя Председателя Правления по информационной безопасности в АО «МСП Банк» и ПАО АКБ «Металлинвестбанк»;
• Рассмотрение отчетов по информационной безопасности в ПАО «ЧЕЛИНДБАНК» и ПАО Банк «Кузнецкий»;
• Утверждение стратегии управления рисками и капиталом и контрольные показатели уровня операционного риска и риска информационной безопасности на 2025 год в ПАО «АКИБАНК»;
• Рассмотрение информации о событиях риска информационной безопасности, о фактических значениях контрольных показателей уровня операционного риска (включая контрольные показатели риска информационной безопасности) в Банке «Йошкар-Ола».

На примере одной из инвестиционных компаний, также близкой к финансовой сфере, АО «СИМПЛ СОЛЮШНЗ КЭПИТЛ» которая развивает бизнесы с широкой диверсификацией, а также ПАО «Ижнефтемаш», одной из ведущих российских предприятий по производству оборудования для добычи нефти, можно увидеть, что такие компании, учитывая важность вопроса, выносят на рассмотрение совета директоров такие вопросы как утверждение Политики информационной безопасности Общества.

Конечно, данные примеры не говорят нам о том, что каждый владелец бизнеса и каждый совет директоров должны в срочном порядке создавать комитеты по информационной безопасности, утверждать политики и положения по защите информации, но как минимум следует рассмотреть на совете директоров вопрос того, в каком состоянии находится система обеспечения информационной безопасности компании и существует ли она вообще:

• Узнать и попросить отчет о том, как обеспечивается требование регуляторов по защите персональных данных (Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных». ), который требует от любой компании наличие набора соответствующих внутренних документов, приказов, а также включения компании в Реестр операторов, осуществляющих обработку персональных данных, и неисполнение которого сулит штрафами  в соответствии с КоАП РФ и начинающими действовать с 30 мая 2025 г. изменениями. (в зависимости от нарушения для юридического лица от 100 тыс. руб. до 20 млн. руб.);
• Узнать как защищены ключевые информационные системы и информационная инфраструктура, что для защиты используется, имеются ли на средства защиты соответствующие лицензии и сертификаты;
• Предложить провести и/или запланировать в бюджете проведение специального аудита защищенности и соблюдения требований законодательства в области защиты информации. Совет директоров, даже при наличии в нем человека разбирающегося в данной тематике, вряд ли самостоятельно сможет полноценно погрузится в вопросы технического состояния информационной инфраструктуры, моделей угроз и выбор оптимального набора необходимых программных и технических средств защиты информации;
• Узнать, как бюджетируются вопросы обеспечения информационной безопасности, какие затраты и обоснования, а также как фактически расходуются средства.
  На моей практике в одной из компании дорогостоящие средства защиты информации были закуплены, менеджмент отчитался о выполнении требований, однако при детальном рассмотрении вопроса оказалось, что оборудование не работает и не введено в эксплуатацию.
• При наличии действующей системы управления рисками, проверить и обратить внимание на то, рассматриваются ли в ней такие простейшие риски информационной безопасности, т.е. вероятность возникновения негативного события, которое нанесет ущерб организации или физическому лицу, как:

1. Операционные риски от внешних угроз (взломы, фишинг, социальная инженерия, вирусы и т.п.) и внутренних угроз (инсайдерские проникновения, ошибки сотрудников и т.п.);

2. Технические уязвимости (устаревшее и необновленное программное обеспечение, слабые настройки и т.п.);

3. Физические риски (свободный доступ к серверам и объектам инфраструктуры и т.п.);

4. Регуляторные и юридические (штрафы, судебные иски по результатам проверок государственных органов, жалоб клиентов и сотрудников, срывов контрактов и т.п.);

 5. Репутационные риски.

На самом деле, вопрос соблюдения требований информационной безопасности в любой компании, для любого сотрудник, а тем более для топ-менеджмента и членов органов управления, должен начинаться с соблюдения личной цифровой гигиены. Защищать информацию и информационное пространство рекомендую с себя и лучше не откладывая.

Можно, конечно, перечислить бесконечное количество рекомендаций, посоветовать много ресурсов, книг и т.п., но я считаю начать можно начать с Письма Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 17 сентября 2024 года №П25-305029 «О рекомендациях для государственных служащих, направленных на обеспечение информационной безопасности сотрудников на рабочих местах, личной информационной безопасности», а также прочитать раздел «Кибербезопасность — это просто!» на Едином портале государственных услуг и изучать информацию на специализированном портале Минцифры.