Роль советов директоров в надзоре за кибербезопасностью и операционной устойчивостью эволюционировала от технической проблемы до ключевого стратегического императива. В современных реалиях директора сталкиваются с двойным вызовом: быстро меняющаяся регуляторная среда и трансформационный — и потенциально разрушительный — рост искусственного интеллекта. Новые нормативные акты, такие как правила раскрытия информации о кибербезопасности Комиссии по ценным бумагам и биржам США (SEC) и рамки DORA в ЕС, формализуют подотчетность советов, требуя своевременного сообщения о существенных инцидентах и демонстрируемого управления киберрисками. Одновременно внедрение ИИ создает новые векторы атак, изощренные фишинговые кампании и уязвимости в цепочках поставок ИИ, одновременно предлагая мощные инструменты для обнаружения угроз. Эта конвергенция требует от советов перейти от пассивного соответствия к активному и информированному управлению цифровыми рисками.
Эффективный надзор совета директоров теперь требует фундаментального понимания модели киберугроз организации, состояния устойчивости и конкретных последствий внедрения ИИ. Директора должны обеспечить, чтобы руководство внедрило надежные frameworks, такие как Framework for Improving Critical Infrastructure Cybersecurity (CSF) от NIST, уделяя особое внимание рискам, связанным с третьими сторонами и цепочками поставок, которые усугубляются взаимосвязанными цифровыми экосистемами. Что крайне важно, надзор должен распространяться на планы реагирования на инциденты и обеспечения непрерывности бизнеса организации, проверяя их эффективность с помощью регулярных ситуационных учений. В контексте ИИ советам необходимо задавать вопросы о том, как защищены эти системы, происхождении их обучающих данных и протоколах их этичного и безопасного развертывания. Цель — fostering a culture of resilience, где кибербезопасность интегрирована в бизнес-решения на всех уровнях.
Для эффективного выполнения этой обязанности советы должны уделять первостепенное внимание непрерывному образованию, взаимодействуя с внутренними экспертами и внешними консультантами, чтобы быть в курсе развивающихся угроз и регуляторных ожиданий. Комитетам, часто Аудиторскому или специальному Комитету по рискам, должно быть прямо поручено осуществлять надзор за кибербезопасностью, получая регулярные, основанные на метриках брифинги, которые выходят за рамки технического жаргона и сосредоточены на влиянии на бизнес. Кроме того, советы должны выступать за инвестиции в современные security architectures, такие как Zero Trust, и передовые защитные инструменты, использующие ИИ для обнаружения аномалий, и анализировать их. В конечном счете, в условиях, определяемых угрозами на базе ИИ и строгим регулированием, проактивный и компетентный надзор со стороны совета директоров — это не просто упражнение в соответствии, а критическое конкурентное преимущество и фундаментальная основа корпоративного доверия и долголетия.
