УДК 33

Особенности управления риском на предприятиях в составе цифровых бизнес-экосистем

Ян Цэнмин – бакалавр Российского университета дружбы народов.

Се Цзиньи – бакалавр Российского университета дружбы народов.

Аннотация: В данной статье рассмотрены новые формы цифрового взаимодействия экономических агентов – производственных предприятий, некоммерческих организаций, органов государственной власти и потребителей в рамках бизнес-экосистем на базе цифровых многосторонних платформ, так называемых цифровых бизнес-экосистем. Целью настоящего исследования является анализ методических проблем выявления локальных и глобальных факторов риска, обусловленных изменением предпочтений потребителей и характеристик внешней среды, и влияния идентифицированных факторов риска на деятельность предприятия при его присоединении к цифровой бизнес-экосистеме.

Ключевые слова: феномен экономического риска, цифровые бизнес-экосистемы, цифровые многосторонние платформы, социо-технологические институты.

Цифровые экосистемы относятся к системам использования, которые состоят из множества разнородных цифровых субъектов и множества сложных взаимосвязей. Благодаря связи между множеством цифровых субъектов можно повысить эффективность системы, обмен информацией, сотрудничество внутри или между субъектами, а также стимулировать инновации и т.д. Цифровые экосистемы также являются результатом цифровой трансформации компаний, и, создавая и участвуя в развивающихся цифровых экосистемах, многие компании также видят будущие доходы и большие перспективы, которые они открывают. Однако большинство компаний не в полной мере учитывают риски и угрозы, присущие этим экосистемам. Согласно исследованию TCS Risk and Cyber Security Study, киберугрозы в цифровых экосистемах могут быть слепым пятном для предприятий [1].

Цифровые экосистемы динамичны, подвижны, интерактивны, безграничны, мультимодальны и децентрализованы, что также приводит к тому, что в системе часто присутствует множество "привратников" и игроков. Другими словами, цифровые экосистемы представляют собой богатую на цели среду для хакеров, и, выбирая эти цели, хакеры могут легко украсть или использовать конфиденциальные данные, или даже нарушить операционную структуру организации [2].

Цифровая трансформация представляет собой широкий, многомодальный и системный сдвиг в организациях и целых отраслях. Когда маркетинг, цепочка поставок и другие операции переходят на чисто цифровые платформы, они могут кардинально изменить возможности компании на рынке. Цифровая трансформация бизнеса приводит к созданию цифровых экосистем: больших, часто меняющихся, многолюдных пространств, где происходит обмен информацией, ведение бизнеса и налаживание связей с поставщиками [3].

Однако цифровые экосистемы открывают возможности не только для организационного развития, но и для взлома. Цифровая экосистема подвергает системы компании большему количеству киберугроз и внешних атак, что может привести к потере контроля, например, над интеллектуальной собственностью или даже жизнеспособности бизнеса. Существует множество примеров взлома и киберугроз, и этому вопросу следует уделять достаточно внимания и сосредоточиться.

На самом деле, до сих пор существует множество организаций, которые плохо подготовлены к рискам, присущим цифровой экосистеме. Часто организации идут на значительные риски, ничего не делая или делая неправильно. Например, в сфере производства и технологий компании часто делятся интеллектуальной собственностью со своими глобальными партнерами по экосистеме или поставщиками, но часто оказываются в плену рисков, связанных с таким обменом, или не внедряют необходимые средства контроля, предназначенные для снижения этих рисков. Причина этой проблемы заключается не в недостатке внимания или возможностей, а скорее в чрезмерном объеме. Организациям приходится работать и отслеживать слишком много поставщиков, но снизить риски для своей цифровой экосистемы им мешает отсутствие устойчивых, повторяемых и эффективных процессов и рамок [4].

Многие традиционные производственные компании в настоящее время стремятся к цифровой трансформации, часто путем создания цифровых систем и инвестирования в "умные фабрики" для повышения эффективности и снижения затрат. Однако если кибербезопасность не воспринимается всерьез в этом процессе или не включена в архитектуру цифровой трансформации организации заранее, связанных с этим рисков не избежать, а цифровая экосистема не будет защищена.

Подключение всего, что должно быть подключено, является основой IoT для создания "умного завода". По мере роста числа подключенных устройств растет и поверхность атаки, что делает безопасность цифровой экосистемы еще более важной и заслуживающей самого пристального внимания в среде "умного завода". Например, если даже один небольшой поставщик в цифровой экосистеме производителя автомобилей подвергнется атаке, это может повлиять на производство и работу всей организации.

Уязвимости существуют даже в тех отраслях, которые являются более продвинутыми с точки зрения информационной безопасности. Например, в банковском секторе, секторе финансовых услуг и страховании, где регуляторы сильны, а риски и связанные с ними выгоды в отрасли более ясны, даже несмотря на это, многие решения по кибербезопасности все еще не внедряются эффективно. В последние годы набирают популярность поставщики финтеха, предлагающие финансовым учреждениям решения по обеспечению безопасности, которые устраняют риски, но в то же время требуют от них уделять внимание должной осмотрительности и проверкам безопасности.

В любой системе снижения рисков необходимо исходить из того, что самыми большими источниками киберугроз являются не злоумышленники, а двери, которые остаются открытыми для нежелательных посетителей. Организации должны соответствующим образом адаптировать свое состояние, процессы и ресурсы. Им необходимо определить основные риски, включая:

▪ Отсутствие управления и подотчетности: во многих организациях ответственность за устранение разрыва в рисках лежит на нескольких руководителях, а не на единой инстанции. Однако цифровая экосистема затрагивает множество аспектов бизнеса, поэтому такие инициативы неизбежно приведут к провалу. Отсутствие подотчетности приводит к недостатку полномочий для действий и неспособности сделать снижение рисков приоритетом в организации.

▪ Неспособность правильно расставить приоритеты рисков: без понимания контекста бизнеса трудно эффективно понять и устранить риски. Например, внешние поставщики могут быть потенциальным источником риска, но при этом играть важную и центральную роль в бизнесе, поэтому вопросы риска с такими поставщиками могут требовать особого подхода и внимания при работе с ними. Другие поставщики той же организации могут не играть такой центральной роли, и поэтому работа с их рисками может быть простым делом. Организации должны адаптировать свой подход к конкретным обстоятельствам и попытаться создать систематический и автоматизированный подход для менее значимых организаций. Слишком многие организации не принимают во внимание внутреннюю среду и поэтому не знают, в какой области следует расставить приоритеты.

▪ Неспособность принять базовые политики: Удивительно много организаций не имеют простых протоколов и политик, когда речь идет о киберугрозах. Это означает, что на каждый риск приходится отвечать, казалось бы, хорошо спланированным, но дорогостоящим ответом. Однако простые правила снижения рисков могут обеспечить существенную и эффективную защиту без долгих обсуждений и дебатов.

▪ Отсутствие инвентаризации активов: когда организации подвергаются риску или находятся в кризисной ситуации, они, как правило, в первую очередь оценивают свои цифровые активы (например, интеллектуальную собственность). Это несостоятельно и непрактично. Первый шаг к эффективной защите – это понимание ценности цели, от которой вы защищаетесь, и соответствующие инвестиции. Однако слишком многие организации не внедряют соответствующую систему обнаружения активов, когда речь идет о цифровых активах, интеллектуальной собственности, информации о клиентах и других ключевых элементах.

▪ Неспособность оценить риск: даже когда организации оценивают источники риска в своей экосистеме, они не всегда могут выбрать четкий путь действий. Оценка потенциальных рисков в цепочке поставок позволяет каждому подразделу экосистемы определить свою позицию и приоритет в устранении рисков безопасности, а также принять различные меры безопасности в зависимости от приоритета. Это должно быть установлено объективно с помощью стандартной системы расчета рисков.Цифровая трансформация организаций неизбежно связана с созданием цифровой экосистемы, безопасность которой определяет степень и состояние цифровой трансформации организации. Уделив достаточное внимание внешним угрозам, не пренебрегайте угрозами безопасности изнутри. Объединение возможностей по обеспечению безопасности всех партнеров в цепочке поставок – сложная задача. Она требует от организаций создания автоматизированного, ориентированного на процесс решения, которое устраняет все известные угрозы безопасности, не оказывающие большого воздействия, что позволяет сотрудникам службы безопасности направить больше энергии на потенциальные риски, представляющие большую опасность.

Список литературы

1. Слепцова Ю. А., Качалов Р. М. Особенности управления риском на предприятиях в составе цифровых бизнес-экосистем //π-Economy. – 2021. – Т. 14. – №. 4. – С. 49-66.
2. Воронцовский А. В. Управление рисками. – 2019.
3. Зубачев Д. Н. Особенности управления рисками на предприятии //Молодой ученый. – 2018. – №. 14. – С. 181-184.
4. Воронцовский А. В. Управление рисками. – 2016.
5. Юрьева Л. В., Марфицына М. С., Юрьева А. Р. Основные методы управления рисками на предприятиях //Фундаментальные исследования. – 2019. – №. 4. – С. 131-136.