BDO в Україні: безпека за задумом — як закрити прогалини в безпеці цифрової трансформації

Глобальна мережа BDO провела вебінар «Безпека за задумом: усунення прогалин у цифровій трансформації», присвячену вбудовуванню кібербезпеки в цифрові ініціативи та управлінню ризиками GenAI.

У партнерстві BDO та міжнародної компанії-постачальника ринкової аналітики IDC (International Data Corporation) було зібрано практичну інформацію про поточний стан безпеки та трансформації.

Серед доповідачів представники мережі BDO: Вейн Андерсон (керівний директор з кібербезпеки, BDO США), Бред Сторан (керівник напряму offensive security та DFIR, BDO Велика Британія), Джейсон Готшалк (партнер з кібербезпеки, BDO Велика Британія) — поділилися висновками щодо готовності бізнесу до кіберзагроз, обговорили сучасні виклики впровадження штучного інтелекту (AI) та практичні стратегії підвищення кіберстійкості.

Охоплення та методологія дослідження IDC

Дослідження IDC охопило 7 країн — Канаду, США, Велику Британію, Австралію, Німеччину, Нідерланди та Бельгію — і включало представників 15 різних галузей, у яких працюють організації з чисельністю персоналу від 100 до понад 5 000 співробітників. У межах дослідження було опитано 411 респондентів, усі з яких мають відповідальність або вплив на питання кібербезпеки у своїх організаціях, що забезпечує високу репрезентативність та практичну цінність отриманих результатів.

Що показало дослідження IDC про кіберготовність

У фокусі — white paper IDC «Cybersecurity Readiness and the Age of Digital Transformation» (липень 2025), підготовлений на основі опитування респондентів у семи країнах (411 учасників у різних галузях). Серед найбільш показових результатів:

• Лише 40% організацій інтегрують кібербезпеку вже на етапі планування цифрових змін, що часто призводить до затримок і збоїв у впровадженні
• Водночас 31% компаній уже запровадили політики використання GenAI, що свідчить про випередження темпів впровадження інновацій над належним управлінням ризиками.
• Із 81% організацій-респондентів, які оцінюють бюджети на кібербезпеку як достатні або кращі, лише 26% почуваються «дуже впевнено» щодо готовності кіберзагрозам.
• В таких компаніях фіксується про понад п’ять інцидентів на рік, що підкреслює: вирішальним фактором є не обсяг витрат, а рівень операційної готовності.

Генеративний ШІ: його тіньове використання та моделювання атак

Спікери окреслили ключові ризики GenAI, і окреслили два ключові терміни — Shadow AI та AI Red Teaming, які сьогодні набувають особливої актуальності для організацій. Shadow AI означає використання інструментів і моделей штучного інтелекту без офіційного погодження, належного управління та контролів, що, попри зростання продуктивності, створює суттєві ризики для безпеки й комплаєнсу.

Водночас AI Red Teaming розглядається як ефективна відповідь на ці виклики: через тестування та моделювання зловмисних сценаріїв компанії можуть виявляти вразливості AI-систем і підвищувати безпеку їх впровадження.

Як приклад тренду було наведено дані досліджень початку 2024 року: 78% користувачів приносять «власний AI» у робочі процеси.

• 31% організацій уже запровадили політики використання GenAI працівниками.
• За даними опитування, 77% організацій стурбовані ризиком prompt injection, ще 11% — «дуже стурбовані».
• Для GenAI-рішень важливо впроваджувати AI red teaming та тестування за практиками на кшталт OWASP Top 10 для LLM.

Практичні кроки, які допомагають перетворити витрати на реальну готовність

1. Ризик-орієнтовані інвестиції (threat-led approach): спрямовуйте бюджет на найбільш критичні загрози та узгоджуйте витрати з бізнес-пріоритетами.
2. Підвищення готовності до інцидентів (incident readiness): фінансуйте 24/7 моніторинг, автоматизоване виявлення загроз, захист кінцевих пристроїв і playbooks для реагування.
3. Консолідація технологічного стеку (consolidate tech stack): об’єднуйте інструменти з дублюючими функціями для єдиної видимості та зниження складності.
4. Розвиток стратегічних компетенцій in-house: посилюйте governance, моделювання ризиків і програми підвищення обізнаності персоналу, особливо щодо ризиків GenAI.
5. Тестування, вимірювання, покращення: моделюйте APT-атаки, відстежуйте метрики (швидкість виявлення, темпи патчінгу, ефективність навчання) — не лише кількість інцидентів.

Найпопулярніші стратегії мінімізації ризиків

Найпоширеніші практики, які організації застосовують для мінімізації ризиків, пов’язаних із використанням штучного інтелекту є навчання співробітників (49%), далі — впровадження спеціалізованих AI-рішень для безпеки (46%) і посилення контролів доступу до даних (41%). Водночас лише 31% організацій мають формалізовані політики використання, що вказує на потребу швидше закривати прогалини в управлінні та правилах застосування AI.

Виклики на шляху до досягнення стійкості

Організації, особливо середні та великі підприємства, як і раніше стикаються з фундаментальними викликами в галузі безпеки. Ці прогалини зберігаються попри достатні бюджети та нагляд на рівні правління, що свідчить про розбіжність між стратегією та її реалізацією.

• Управління ризиками третіх сторін
• Усунення вразливостей
• Безпека за рахунок дизайну

Основи сучасної стійкості

• Постійно оцінюйте ризики та заздалегідь плануйте механізм реагування та прийняття рішень на випадок «всіх небезпек».
• Проектуйте бізнес-процеси таким чином, щоб усунути єдині точки відмови, запровадивши дублювання та резервне копіювання.
• Проектуйте будь-яку хмарну систему для забезпечення низької вартості стійкості за допомогою вбудованих функцій дублювання та відновлення після аварій.
• Регулярно переглядайте критичні процеси за допомогою рутинних вправ та аудитів, щоб виявити мінливі загрози та ринкові умови.

Фахівці BDO в Україні також переконані, що ефективне та безпечне впровадження штучного інтелекту потребує системного підходу, який поєднує управління ризиками, зріле корпоративне врядування, постійний моніторинг і розвиток кіберстійкості. Штучний інтелект відкриває значні можливості для бізнесу лише за умови, що безпека інтегрована в стратегію, процеси та корпоративну культуру. Такий підхід дозволяє перетворити кібербезпеку з реактивної функції на стратегічний інструмент довгострокового зростання та довіри.

BDO в Україні рекомендує:

• Впроваджувати комплексний підхід до кібербезпеки, орієнтований на реальні загрози для бізнесу.
• Забезпечити прозорість у ланцюгах постачання та належну оцінку ризиків третіх сторін.
• Інвестувати у навчання співробітників та сучасні інструменти захисту, зокрема AI-рішення.
• Регулярно оновлювати політики безпеки та тестувати їхню ефективність.

Детальніше про заходи та рекомендації із кібербезпеки можна обговорити на консультації — звертайтеся до команди BDO в Україні.