Статья Фалько С.Г. (321)
 |
Фалько С.Г., главный редактор, проф., д.э.н., Зав. каф. «Экономика и организация производства» МГТУ им. Н.Э.Баумана |
Появление новых технологий и бизнес-моделей создает новые возможности для бизнеса, независимо от его стартовых возможностей. Современная действительность показывает, как из маленьких компаний, насчитывающих пару-тройку человек, рождаются и растут компании глобального уровня (Airbnb, AliExpress, Amazon, Facebook, Яндекс и т.д.).
Создавать новые или развивать существующие бизнес-модели позволяют предприятиям цифровые технологии, такие как:
• интернет вещей;
• искусственный интеллект;
• Blockchain (распределенные базы данных; цепочки блоков транзакций);
• Сloud computing (облачные вычисления — модель обеспечения удобного сетевого доступа по требованию к некоторому общему фонду конфигурируемых вычислительных ресурсов (например, сетям передачи данных, серверам, устройствам хранения данных и т.п.);
• Big Data (большие объемы информации, в том числе, слабоструктурированной или вовсе не структурированной, которые обрабатываются с высокой скоростью);
• технологии 3D-моделирования;
• технологии 3D-прототипирования и т.п.
Практика породила разновидности бизнес-моделей, основанных на расширении цифровых технологий. В частности, это:
• сервисная модель: переход от продажи машин или программных продуктов к оплачиваемым услугам;
• модель общей платформы: предлагается платформа общего пользования для обмена продуктами, услугами и информацией с использованием четко оговоренных каналов коммуникации. Примерами таких общих платформ могут быть услуги по 3D-печати, электронные торговые площадки, технологические платформы для совместных разработок и т.п.;
• модель продажи компетенций: многие компании обладают компетенциями в области разработки технологий, процессов и продуктов, которые можно трансформировать в виртуальные формы и продавать в качестве консалтинговых и/или обучающих услуг;
• модель на основе баз данных: существуют возможности генерировать доходы на основе сбора и структурирования различных баз данных. Модель может включать в себя не только первичный сбор и продажу данных, но и проведение анализа с целью дальнейшего практического применения, например, выбор наиболее эффективного времени.
Как справедливо отмечает исполнительный директор по кибербезопасности компании Ernst&Young, «Развитие цифрового мира и объединение в одну сеть людей, устройств и организаций открывает новые угрозы»1 – каждый день хакеры придумывают новые методы взлома систем безопасности организаций с целью причинения ущерба, получения доступа к важным данным, хищения интеллектуальной собственности и персональных данных клиентов. Старым источникам киберугроз на смену приходят новые опасности. смену приходят новые опасности.
В таблице 1 представлена эволюция кибератак во времени, а также степень воздействия на объект атаки.
В качестве свежего примера кибератаки можно привести события июня 2019 г. в отношении логистической компании Maersk (контейнерные перевозки). Кибератака была произведена хакерами с помощью вируса-вымогателя NotPetya. В результате была остановлена работа всей компьютерной системы терминалов в 76 портах в 59 странах мира. Финансовые потери составили около 300 млн дол., но к счастью удалось избежать утечки данных третьим лицам.
Киберриски возникают не только в виде противоправных действий лиц, сторонних по отношению к организации (внешние киберугрозы). Не менее серьезная опасность таится в злоупроблениях и противоправных действиях сотрудников организаций (внутренние кибер угрозы).
Названные виды рисков входят составными частями в так называемый операционный риск, регулируемый рекомендациями Базельского комитета (Базель II и Базель IV).
С момента введения рекомендаций Базельского комитета (Базель II) по управлению операционными рисками прошло более 15 лет. Банки разрабатывают соответствующие модели управления рисками и определяют величину экономического капитала для покрытия операционных рисков, а также кредитных и рыночных.
Возникает вопрос, возможно ли применить методологию управления операционными рисками для выявления, измерения и оценки киберрисков?
Ответ будет, скорее всего, отрицательным. Дело в том, что концепция и методология построения системы управления операционными рисками основаны на том, что необходимо собирать статистику за несколько лет (минимум 5 лет), чтобы затем выявить соответствующие закономерности, скажем, в отказе компьютерных систем или сбое в программных средствах.
Постоянно меняющиеся виды и организационные формы проведения кибератак не позволяют набрать статистику для последующей обработки. Не спасают даже экспертные оценки, поскольку в основе информации от экспертов лежит накопленный опыт, который сегодня практически отсутствуют.
Нужны принципиально новые подходы к выявлению и оценке киберрисков, а также новые методы снижения угроз и потерь.
Перед контроллингом рисков в настоящее время стоят серьезные вызовы, порожденные развитием цифровых технологий, глобального интернета и трансформацией бизнес-моделей.