Кибербезопасность теперь является компонентом ESG для многих инвесторов, но получить информацию от бизнеса по-прежнему сложно.
Поскольку количество киберугроз, с которыми сталкиваются предприятия, растет с каждым днем, управление киберрисками становится приоритетом для многих организаций. Инвесторы также все больше узнают о влиянии киберпреступности на бизнес и делают его центральным элементом экологического, социального и управленческого анализа (ESG), который проводят для обеспечения устойчивости компании. Но эту информацию часто трудно получить, поскольку компании по-прежнему не раскрывают информацию о киберинцидентах в полном объеме. Может помочь разработка стандартов отчетности о киберинцидентах.
Правительственные данные, опубликованные в марте, обнажили проблемы, с которыми сталкивается британский бизнес, когда речь идет о киберпреступности. Опрос о нарушениях кибербезопасности за 2022 год, проведенный Департаментом цифровых технологий, культуры, СМИ и спорта (DCMS), показывает, что 39% компаний стали жертвами как минимум одной кибератаки в прошлом году, при этом 31% предприятий и 26% благотворительных организаций оценивают их подвергались атакам не реже одного раза в неделю, при этом преступники использовали фишинговые атаки, программы-вымогатели и распределенный отказ в обслуживании
В отчете DCMS говорится, что средняя стоимость взлома составила 4 200 фунтов стерлингов, а с учетом только среднего и крупного бизнеса — 19 400 фунтов стерлингов. Стоимость и частота нарушений означает, что неудивительно, что то, как компании справляются с ними, становится важным фактором при принятии инвестиционных решений.
Для предприятий постановка кибербезопасности в основу стратегий ESG жизненно важна для демонстрации эффективного управления. «Киберриск — это самый непосредственный и финансово существенный риск устойчивости, с которым сегодня сталкиваются организации», — утверждают Анна Сарнек и Кристина Долан в статье для Всемирного экономического форума. «Те, кто не сможет внедрить надлежащее управление кибербезопасностью с использованием соответствующих инструментов и показателей, будут менее устойчивыми и менее устойчивыми».
ESG и кибербезопасность: насколько важно управление рисками
Пандемия Covid-19, которая привела к резкому увеличению числа кибератак во всем мире, также послужила тревожным сигналом для инвестиционного сообщества, когда речь идет об ESG и кибербезопасности. Пандемия «усугубила проблемы, связанные с рисками кибербезопасности», — говорит Бетина Ваз Бони, старший аналитик по корпоративному управлению в «Принципах ответственного инвестирования» (PRI), поддерживаемой ООН организации, продвигающей устойчивые инвестиции.
«Угрозы кибербезопасности продолжают развиваться быстрыми темпами, при этом за последние несколько месяцев увеличилось количество утечек данных с серьезными последствиями», — говорит Ваз Бони. «В то время как некоторые инвесторы в течение многих лет всесторонне взаимодействуют с портфельными компаниями, чтобы снизить риски и выявить возможности, многие другие только сейчас осознают необходимость этого, учитывая его системную значимость и потенциальную серьезность воздействия».
Наряду с растущим уровнем угроз цифровая трансформация также выдвинула кибербезопасность на первое место в инвестиционной повестке дня, — говорит Катерина Космопулу, партнер и управляющий портфелем в компании по управлению активами J.Stern & Co. сейчас начинают полагаться на цифровые цепочки поставок», — говорит она. «Это означает, что кибербезопасность и то, как устраняются эти риски, являются ключевыми».
Сарнек и Долан утверждают в своей статье на WEF, что для самих предприятий сделать кибербезопасность центральным элементом стратегий ESG жизненно важно по трем причинам. Это помогает защитить нематериальные активы, такие как данные, и защищает общество от потенциальных последствий разрушительной кибератаки, такой как прорыв колониального трубопровода в прошлом году, который вызвал нехватку топлива на восточном побережье США.
Внедрение надлежащего управления кибербезопасностью также может снизить зависимость от киберстрахования, получить которое становится все труднее по мере увеличения числа нарушений, как сообщал Tech Monitor ранее в этом году.
«Вместо того, чтобы внедрять управление кибербезопасностью, организации в значительной степени полагались на страхование для управления рисками, — пишут Сарнек и Долан. — Но поскольку суды выносят решения в пользу страхователей, страховщики будут продолжать сужать сферу действия киберполиса, ограничивая степень, в которой организации могут полагаться на него для снижения риска».
Что компании рассказывают инвесторам об инцидентах кибербезопасности
Пока инвесторы стремятся получить данные о кибербезопасности, компании, ищущие инвестиции, не всегда готовы. Многие киберинциденты решаются в частном порядке и совершенно не регистрируются. «Большая часть информации, которая предоставляется инвесторам [о кибербезопасности], носит первоклассный и, как правило, качественный характер, — говорит Космопулу. — По очевидным причинам компании не хотят раскрывать слишком много, поэтому мы должны смотреть на более широкие цифровые возможности компании и ее опыт и делать выводы».
Некоторые компании обеспокоены тем, что раскрытие информации может привлечь «нежелательное внимание со стороны хакеров», говорит Ваз Бони из PRI. Другие «находятся на ранней стадии понимания проблемы и поэтому не готовы выкладывать подробную информацию в открытый доступ», — добавляет она. «Отсутствие публичного раскрытия информации затрудняет для инвесторов различие между теми компаниями, которые активно разрабатывают, отслеживают и управляют рисками кибербезопасности, и теми, кто не может расставить эти риски в приоритете».
Согласно исследованию PRI, предприятия становятся более прозрачными в вопросах кибербезопасности. В рамках проекта «Взаимодействие с кибербезопасностью» он работал с 55 инвестиционными фондами, которые консультировали 53 компании из своего портфеля по вопросам, связанным со стратегиями киберзащиты. В исследовании сравнивались отношения в 2017 и 2019 годах, оценивая управление кибербезопасностью по 14 показателям, включая соблюдение законодательства, опыт, политики и обучение. Выяснилось, что к 2019 году среднее количество показателей, которым соответствуют показатели, выросло до 8,5 с 6,1 в 2017 году. Количество компаний, отвечающих десяти или более показателям, выросло за этот период с 13% до 42%.
Ваз Бони говорит, что это положительное направление движения, но есть еще над чем поработать. «Компании продемонстрировали различный уровень комфорта при эффективном информировании о вопросах кибербезопасности внутри компании и за ее пределами, — говорит она. — Хотя было ясно, что компании активно отчитывались перед своими советами директоров о количестве инцидентов кибератак и их влиянии, в разговорах часто не описывались механизмы эскалации и типы инцидентов, которые инициировали отчетность».
Она добавляет: «Компании были более склонны открыто говорить о своей киберполитике и процедурах, если коллега пострадал от инцидента, связанного с кибербезопасностью, или если они ранее сталкивались с серьезным инцидентом».
ESG: как компании могут улучшить управление кибербезопасностью, чтобы впечатлить инвесторов
Космопулу из J.Stern говорит, что, даже если они не хотят раскрывать полную информацию об инцидентах, предприятия могут показать инвесторам, что они сосредоточены на кибербезопасности, обеспечив отражение этого в своих структурах управления. «Мы хотели бы посмотреть, есть ли у совета директоров и высшего руководства опыт в области кибербезопасности и ИТ в целом, а также место [кибербезопасности] в структуре отчетности, — говорит она. — Если это зависит от совета директоров или высшего руководства, вы можете подумать, что они относятся к этому серьезно, и это лежит в основе того, что они делают. Если нет, это красный флаг».
Точно так же, по словам Космопулу, кибербезопасность должна занимать видное место в любой карте рисков, проводимой компаниями в рамках стратегии ESG. «У совета обычно есть карта рисков для бизнеса», — говорит она. «Кроме того, кибербезопасность должна стоять на первом месте в качестве главного вопроса при любой оценке рисков».
В более широком смысле стандарты отчетности о киберинцидентах были бы долгожданным достижением, говорит Ваз Бони из PRI. В марте финансовый регулятор США Комиссия по ценным бумагам и биржам предложила новые правила киберотчетности, которые вводят периодическое требование сообщать о киберинцидентах, обновлять информацию о прошлых нарушениях и излагать политики управления рисками безопасности. «Я думаю, что как компании, так и инвесторы выиграют, если эта информация будет требоваться в последовательной, сопоставимой и полезной для принятия решений форме», — сказал тогда председатель SEC Гэри Генслер. Консультации по планам продлятся до 9 мая.
Ваз Бони говорит, что PRI «приветствует регулирование по этой теме», добавляя: «Положения о кибербезопасности могут помочь обеспечить стандартизированное и прозрачное раскрытие информации компаниями».