КОМЕНТАР
Близький Схід переживає цифрову трансформацію, яка настільки ж швидка, як і вражаюча. Багатонаціональні технічні компанії інвестують великі кошти в регіон, оскільки Дубай, Ер-Ріяд і Абу-Дабі прагнуть стати глобальними інноваційними центрами.
Але така посилена оцифровка супроводжується підвищеним ризиком кібератак — і підприємства на всьому Близькому Сході ризикують бути спійманими в необережному стані.
Темпи цифрового зростання в країнах Близького Сходу значно перевищили рівень талантів у сфері кібербезпеки в регіоні, залишаючи організації смертельно небезпечними. Хоча деякі компанії вдаються до аутсорсингу своїх заходів з кібербезпеки технологічним гігантам та їхнім інструментам, такий безсторонній підхід є ризикованим.
Зараз Близький Схід знаходиться прямо на лінії вогню. З огляду на кібератаки, підкріплені штучним інтелектом, надійний захист кібербезпеки є більш важливим, ніж будь-коли. Підприємства повинні відійти від аутсорсингу та зосередитися на розбудові надійних внутрішніх засобів захисту, інвестуючи в підходи, що базуються на інструментах, і значно використовуючи внутрішні практики найму, підвищення кваліфікації та утримання талантів.
Жертви власного успіху?
Комерційний успіх таких місць, як Дубай, Абу-Дабі та Саудівська Аравія, перетворив їх на потенційні осередки кіберзлочинності. Розподілені атаки типу «відмова в обслуговуванні» (DDoS) на країни Близького Сходу зросли на 75% за минулий рік, причому ОАЕ та Саудівська Аравія прийняли на себе основний удар.
ОАЕ одні стають жертвами навколо 50 000 кібератак на день. І це має свою ціну: у 2023 році кібератаки коштували підприємствам, організаціям і державним органам понад 8 мільйонів доларів США за один випадок.
Зростання кількості кібератак лише посилюється зміною моделей кіберзлочинності. Розвиток штучного інтелекту знизив бар’єр для потенційних хакерів, дозволивши тим, хто має навіть найпочатківці навички, здійснити повномасштабну атаку. Тим часом поширення кіберзлочинності як послуги (CaaS), що пропонує такі послуги, як DDoS-за наймом, означає, що суб’єктам загрози тепер потрібно трохи більше, ніж намір здійснити кібератаку. У цю нову еру кіберзлочинності там, де є бажання, є спосіб.
Нинішня прогалина в навичках кібербезпеки, яка спостерігається на Близькому Сході, робить компанії незахищеними та вразливими для зловмисників. Більше половини компаній у регіоні EMEA пояснюють порушення кібербезпеки відсутністю навичок і підготовки, тоді як 70% бізнес-лідерів вважають, що навичок бракує створити цілу низку додаткових ризиків для кібербезпеки, на які компанії мають звернути увагу.
ШІ заплутує рівняння безпеки, переданого стороннім підрядникам
Дуже багато компаній намагаються виправити цей брак таланту за допомогою аутсорсинг своєї кібербезпеки третім особам. Хоча це могло бути ефективним, коли такі країни, як США, були головною мішенню для загрозливих акторів, це вже не так.
Зростання кількості кібератак, розширених штучним інтелектом, представляє нову низку загроз, з якими компанії, які передають кібербезпеку на аутсорсинг, не обов’язково зможуть впоратися. Штучний інтелект не тільки полегшив зловмисникам здійснення кібератак, але й зробив самі атаки більш складними та зловмисними.
Зловмисне програмне забезпечення, удосконалене штучним інтелектом, є більш прихованим, тому виявити порушення ІТ-інфраструктури складніше. Автоматизовані фішингові атаки дозволяють зловмисникам націлюватися на більшу кількість потенційних жертв, тоді як самі фішингові атаки чітко адаптовані до своїх цілей.
Вкрай важливо, щоб компанії Близького Сходу, особливо в ОАЕ та Саудівській Аравії, дотримувалися заходів кібербезпеки. Вони не можуть сидіти склавши руки і передавати кібербезпеку аутсорсингу, припускаючи, що ризик також передається. Натомість вони повинні активно підходити до своїх заходів кібербезпеки, створивши потужну внутрішню команду з кібербезпеки, яка зможе ефективно та своєчасно виявляти загрози, реагувати на них і впоратися з ними.
Внутрішня кібербезпека зменшує ризики, які можуть виникнути, якщо покладатися на сторонні засоби захисту, наприклад, повільний час реагування. Натомість власні команди з кібербезпеки триматимуть руку на пульсі системи безпеки бізнесу, а також глибоко розумітимуть специфіку бізнесу, що дозволить їм швидко реагувати на загрози.
Але щоб досягти цього, компанії повинні інвестувати значні кошти в нових і вже існуючих ІТ-спеціалістів, щоб усунути прогалину в навичках на Близькому Сході — і це має бути зроблено з особливою увагою до практики найму та утримання.
Утримання складно в меншому резерві талантів
Більше половини організацій у всьому світі кажуть, що вони боротьба за наймання кандидатів із досвідом кібербезпеки. Труднощі з найманням спеціалістів із кібербезпеки ускладнюються проблемами з утриманням персоналу з кібербезпеки, що кидає роботодавців у порочне коло найму та повторного найму. На Близькому Сході, де цифрова економіка ще молода, це викликає особливе занепокоєння — резерв талантів обмежений, і компанії не можуть дозволити собі втрачати перспективних співробітників.
Щоб боротися з цим, корпорації на Близькому Сході повинні звернути увагу на свіжі таланти, які виходять з університетів на Близькому Сході та в усьому світі. Встановлюючи партнерські відносини з університетами та пропонуючи привабливі програми для випускників, компанії можуть отримати доступ до щільних кадрів, наповнених багатообіцяючими талантами з кібербезпеки.
Випускники прагнуть вчитися та готові адаптуватися до духу компанії, що робить їх ідеальним вибором для корпорацій, які прагнуть створити спеціальну внутрішню команду з кібербезпеки.
Іншим варіантом для компаній є інвестування в схеми учнівства. Незважаючи на більшу практичність, компанії зможуть навчати кандидатів з нуля, гарантуючи, що навички та знання кандидата тісно відповідають потребам бізнесу в кібербезпеці.
Треба сприяти навчанню та розвитку
Зберегти цей талант так само важливо, як і залучити його на борт. Поряд зі звичайною тактикою утримання, як-от конкурентоспроможні пакети заробітної плати та бажані переваги, компанії повинні інвестувати значні кошти в можливості безперервного навчання та розвитку (L&D) протягом усієї кар’єри працівника.
Погана підготовка — або її повна відсутність — вірний спосіб втратити працівників. І навпаки, 94% працівників кажуть, що залишилися б довше з роботодавцем, який інвестував би в L&D. У такій індустрії, яка швидко змінюється та постійно розвивається, як-от кібербезпека, L&D є особливо важливим.
Інвестування в навчальні сесії та курси розвитку для співробітників відділу кібербезпеки гарантує, що вони будуть в курсі будь-яких змін у сфері загроз і безпеки. І в цьому процесі співробітники відчуватимуть, ніби компанія дає їм можливість розвивати свої навички та здібності, перетворюючи їх на досвідчених професіоналів з кібербезпеки.
Інвестиції в персонал як тактика кібербезпеки не повинні починатися і закінчуватися персоналом з кібербезпеки. Розгортання загальнокомпанійної програми підвищення кваліфікації з кібербезпеки є життєво важливим першим кроком і простим способом виключити одну з головних причин порушень кібербезпеки: людська помилка. Недбалість, недостатня обізнаність або прості помилки можуть призвести до вразливості та зламів навіть у найнадійніших системах. Підвищення кваліфікації є життєво важливим кроком, який компанії повинні зробити, щоб зменшити цей ризик.
Зі зростанням кількості кібератак на Близькому Сході корпорації не можуть дозволити собі сидіти склавши руки і чекати, поки вони стануть наступною великою жертвою витоку даних або DDoS-атаки.
Компанії не можуть покладатися виключно на сторонні засоби кібербезпеки — вони повинні створити комплексний внутрішній захист. Підприємствам потрібно діяти зараз і подвоїти свої інвестиції в таланти з кібербезпеки, приділяючи особливу увагу перспективним талантам випускників.
