Безпека за задумом: як закрити прогалини в безпеці цифрової трансформації

Secure by Design: як бізнесу закрити прогалини в кібербезпеці
Глобальна мережа BDO провела вебінар «Безпека за задумом: усунення прогалин у цифровій трансформації», присвячену вбудовуванню кібербезпеки в цифрові ініціативи та управлінню ризиками GenAI. 

У партнерстві BDO та міжнародної компанії-постачальника ринкової аналітики IDC (International Data Corporation) було зібрано практичну інформацію про поточний стан безпеки та трансформації. 

Серед доповідачів представники мережі BDO: Вейн Андерсон (керівний директор з кібербезпеки, BDO США), Бред Сторан (керівник напряму offensive security та DFIR, BDO Велика Британія), Джейсон Готшалк (партнер з кібербезпеки, BDO Велика Британія) — поділилися висновками щодо готовності бізнесу до кіберзагроз, обговорили сучасні виклики впровадження штучного інтелекту (AI) та практичні стратегії підвищення кіберстійкості.

Охоплення та методологія дослідження IDC
Дослідження IDC охопило 7 країн — Канаду, США, Велику Британію, Австралію, Німеччину, Нідерланди та Бельгію — і включало представників 15 різних галузей, у яких працюють організації з чисельністю персоналу від 100 до понад 5 000 співробітників. У межах дослідження було опитано 411 респондентів, усі з яких мають відповідальність або вплив на питання кібербезпеки у своїх організаціях, що забезпечує високу репрезентативність та практичну цінність отриманих результатів.

Що показало дослідження IDC про кіберготовність
У фокусі — white paper IDC «Cybersecurity Readiness and the Age of Digital Transformation» (липень 2025), підготовлений на основі опитування респондентів у семи країнах (411 учасників у різних галузях). Серед найбільш показових результатів:
  • Лише 40% організацій інтегрують кібербезпеку вже на етапі планування цифрових змін, що часто призводить до затримок і збоїв у впровадженні
  • Водночас 31% компаній уже запровадили політики використання GenAI, що свідчить про випередження темпів впровадження інновацій над належним управлінням ризиками.
  • Із 81% організацій-респондентів, які оцінюють бюджети на кібербезпеку як достатні або кращі, лише 26% почуваються «дуже впевнено» щодо готовності кіберзагрозам.
  • В таких компаніях фіксується про понад п’ять інцидентів на рік, що підкреслює: вирішальним фактором є не обсяг витрат, а рівень операційної готовності.

Генеративний ШІ: його тіньове використання та моделювання атак
Спікери окреслили ключові ризики GenAI, і окреслили два ключові терміни — Shadow AI та AI Red Teaming, які сьогодні набувають особливої актуальності для організацій. Shadow AI означає використання інструментів і моделей штучного інтелекту без офіційного погодження, належного управління та контролів, що, попри зростання продуктивності, створює суттєві ризики для безпеки й комплаєнсу. 

Водночас AI Red Teaming розглядається як ефективна відповідь на ці виклики: через тестування та моделювання зловмисних сценаріїв компанії можуть виявляти вразливості AI-систем і підвищувати безпеку їх впровадження. 

Як приклад тренду було наведено дані досліджень початку 2024 року: 78% користувачів приносять «власний AI» у робочі процеси.
  • 31% організацій уже запровадили політики використання GenAI працівниками.
  • За даними опитування, 77% організацій стурбовані ризиком prompt injection, ще 11% — «дуже стурбовані».
  • Для GenAI-рішень важливо впроваджувати AI red teaming та тестування за практиками на кшталт OWASP Top 10 для LLM.

Інфографіка про проблеми безпеки при впровадженні штучного інтелекту (ШІ) в організаціях: 80%25+ керівників вважають витік конфіденційних даних головною загрозою; 78%25 співробітників використовують тіньовий ШІ (BYOAI) на роботі; 77%25 компаній стурбовані новими вразливостями та атаками, зокрема prompt injection; 55%25 керівників недостатньо розуміють регулювання ШІ та потребують рекомендацій щодо комплаєнсу. Дані з досліджень ISMG, Microsoft, LinkedIn та Gartner.
 
Практичні кроки, які допомагають перетворити витрати на реальну готовність
  1.  Ризик-орієнтовані інвестиції (threat-led approach): спрямовуйте бюджет на найбільш критичні загрози та узгоджуйте витрати з бізнес-пріоритетами. 
  2. Підвищення готовності до інцидентів (incident readiness): фінансуйте 24/7 моніторинг, автоматизоване виявлення загроз, захист кінцевих пристроїв і playbooks для реагування. 
  3. Консолідація технологічного стеку (consolidate tech stack): об’єднуйте інструменти з дублюючими функціями для єдиної видимості та зниження складності. 
  4. Розвиток стратегічних компетенцій in-house: посилюйте governance, моделювання ризиків і програми підвищення обізнаності персоналу, особливо щодо ризиків GenAI. 
  5. Тестування, вимірювання, покращення: моделюйте APT-атаки, відстежуйте метрики (швидкість виявлення, темпи патчінгу, ефективність навчання) — не лише кількість інцидентів.

Інфографіка «Стратегії розумного розподілу бюджету на кібербезпеку»: 5 ключових кроків — 1) інвестиції з урахуванням актуальних кіберзагроз і пріоритетів бізнесу; 2) підвищення готовності до інцидентів через цілодобовий моніторинг і автоматизоване виявлення; 3) консолідація технологічних рішень для єдиної видимості та зменшення складності; 4) розвиток стратегічних можливостей і управління ризиками, зокрема ризиками ШІ; 5) тестування, відстеження KPI та безперервне вдосконалення захисту.
 
Найпопулярніші стратегії мінімізації ризиків
Найпоширеніші практики, які організації застосовують для мінімізації ризиків, пов’язаних із використанням штучного інтелекту є навчання співробітників (49%), далі — впровадження спеціалізованих AI-рішень для безпеки (46%) і посилення контролів доступу до даних (41%). Водночас лише 31% організацій мають формалізовані політики використання, що вказує на потребу швидше закривати прогалини в управлінні та правилах застосування AI.
 
Інфографіка з пріоритетами кібербезпеки та управління ШІ в компаніях: 49%25 — навчання працівників з питань безпеки; 46%25 — впровадження спеціальних AI-рішень з безпеки; 41%25 — посилення контролю доступу до даних; 31%25 — розробка політики використання ШІ.

Виклики на шляху до досягнення стійкості
Організації, особливо середні та великі підприємства, як і раніше стикаються з фундаментальними викликами в галузі безпеки. Ці прогалини зберігаються попри достатні бюджети та нагляд на рівні правління, що свідчить про розбіжність між стратегією та її реалізацією.
  • Управління ризиками третіх сторін
  • Усунення вразливостей
  • Безпека за рахунок дизайну

Інфографіка з ключовими напрямами кіберзахисту та безпеки ШІ: управління ризиками третіх сторін (third-party risk management), усунення вразливостей і постійний vulnerability management, а також вбудована безпека (security by design). 

Основи сучасної стійкості
  • Постійно оцінюйте ризики та заздалегідь плануйте механізм реагування та прийняття рішень на випадок «всіх небезпек».
  • Проектуйте бізнес-процеси таким чином, щоб усунути єдині точки відмови, запровадивши дублювання та резервне копіювання.
  • Проектуйте будь-яку хмарну систему для забезпечення низької вартості стійкості за допомогою вбудованих функцій дублювання та відновлення після аварій.
  • Регулярно переглядайте критичні процеси за допомогою рутинних вправ та аудитів, щоб виявити мінливі загрози та ринкові умови.

Інфографіка з рекомендаціями щодо підвищення кіберстійкості бізнесу: постійна оцінка ризиків і планування реагування на інциденти; розробка бізнес-процесів із дублюванням та резервним копіюванням для усунення єдиних точок відмови; створення надійної хмарної системи з можливостями резервування та відновлення після аварій (disaster recovery); регулярна перевірка критичних процесів за стандартними правилами для виявлення нових загроз і змін ринкових умов.
 
Фахівці BDO в Україні також переконані, що ефективне та безпечне впровадження штучного інтелекту потребує системного підходу, який поєднує управління ризиками, зріле корпоративне врядування, постійний моніторинг і розвиток кіберстійкості. Штучний інтелект відкриває значні можливості для бізнесу лише за умови, що безпека інтегрована в стратегію, процеси та корпоративну культуру. Такий підхід дозволяє перетворити кібербезпеку з реактивної функції на стратегічний інструмент довгострокового зростання та довіри.

BDO в Україні рекомендує:
  • Впроваджувати комплексний підхід до кібербезпеки, орієнтований на реальні загрози для бізнесу.
  • Забезпечити прозорість у ланцюгах постачання та належну оцінку ризиків третіх сторін.
  • Інвестувати у навчання співробітників та сучасні інструменти захисту, зокрема AI-рішення.
  • Регулярно оновлювати політики безпеки та тестувати їхню ефективність.

Детальніше про заходи та рекомендації із кібербезпеки можна обговорити на консультації — звертайтеся до команди BDO в Україні.
ЗВ'ЯЗАТИСЯ З НАМИOpens in a new window/tab

Ключові висновки матеріалу:

  • Кібербезпека відстає від цифрової трансформації: лише 40% компаній інтегрують безпеку на етапі планування змін, що створює додаткові ризики під час масштабування GenAI.
  • Бюджет ≠ операційна готовність: попри те, що 81% організацій оцінюють фінансування як достатнє, лише 26% впевнені у своїй стійкості до кіберзагроз.
  • Shadow AI — зростаючий неконтрольований ризик: співробітники активно використовують інструменти та LLM-моделі без офіційних політик і нагляду, що підвищує ймовірність витоку даних і порушень комплаєнсу.
  • Ризики LLM потребують нових підходів: 77% організацій занепокоєні ризиком prompt injection, що підсилює потребу в AI Red Teaming і тестуванні за стандартами OWASP для LLM.
  • Безпека за задумом (Secure by Design) — основа стійкості: ефективне управління ризиками третіх сторін і постійний моніторинг є критичними для безпечної цифрової трансформації.


Підписатись на розсилку від BDO в Україні.

ПІДПИСАТИСЬOpens in a new window/tab

Основний контакт

Андрій Боренков

Андрій Боренков, CFA

Партнер, керівник Advisory
View bio