Как устроена кибербезопасность в корпорации Hitachi. Главные направления и принципы

Редакция SecPost подготовила обзор отчета Hitachi Security Report 2024. Документ охватывает инициативы в области информационной безопасности и отражает системный подход корпорации Hitachi к управлению рисками, защите данных и развитию культуры осознанной безопасности. В отчете подчеркивается, что информационная безопасность для Hitachi — это не вспомогательная ИТ-функция, а стратегическая задача, объединяющая все подразделения компании под принципом «One Hitachi» и направленная на обеспечение устойчивости бизнеса и доверия клиентов. Полную версию отчёта можно получить по ссылке.

Hitachi является одним из крупнейших в мире японских финансово-промышленных конгломератов, в ее составе более 1100 компаний.

Глобальная стратегия: от технологий к культуре безопасности

В условиях ускоренной цифровизации, перехода на облачные сервисы и роста атак на цепочки поставок компания делает защиту данных и систем управленческой задачей на уровне совета директоров.

В основе подхода лежит принцип «One Hitachi», который объединяет подразделения и регионы в единую систему реагирования. Это позволяет быстрее выявлять угрозы и координировать действия с учетом национальных законов и регуляций.

Компания строит стратегию на трех ключевых опорах:

1. Governance (управление) — внедрение принципов zero trust и усиление контроля во всех средах, от внутренних ИТ-систем до производственных объектов и поставщиков. Цель — обеспечить устойчивость бизнеса даже при серьезных инцидентах.
2. Co-creating Security (совместное создание безопасности) — формирование «экосистемы безопасности», объединяющей ИТ-службы, производство, закупки, PR и юридические отделы. Внешние партнеры — клиенты, госструктуры и научное сообщество — вовлекаются в обмен опытом и совместное реагирование.
3. Jibungoto (личная ответственность) — развитие культуры осознанной безопасности. Сотрудники воспринимают защиту данных как часть своей работы и действуют не формально, а из внутреннего понимания рисков.

Экосистема безопасности Hitachi: взаимодействие индустрии, государства и научного сообщества в повышении киберустойчивости (по данным Hitachi Group Security Report 2024).

Система управления: единые правила и глобальная координация

Hitachi выстроила многоуровневую систему управления информационной безопасностью, охватывающую все бизнес-единицы и дочерние компании по всему миру.

Политика и корпоративное управление
Безопасность закреплена в корпоративной политике и рассматривается как часть бизнес-рисков. В ней зафиксированы принципы защиты данных, обязательное соблюдение национальных и международных норм, а также порядок действий при инцидентах.

Организационная структура
За реализацию политики отвечает главный директор по информационной безопасности (CISO), которому подчиняется Комитет по информационной безопасности. Через него формируются стратегии, утверждаются меры защиты и программы обучения. В каждой бизнес-единице есть ответственные за ИБ и физическую безопасность, а также менеджеры по защите данных. Для продуктовых направлений и закупок назначены Product Security Officer и Procurement Security Officer. Такая структура позволяет учитывать риски не только в ИТ, но и в производстве и цепочках поставок.

Развитие компетенций
Hitachi систематически обучает сотрудников и руководителей. Программы включают тренинги по защите данных, управлению уязвимостями и моделированию инцидентов. Цель — формировать не только технические навыки, но и культуру ответственного поведения.

Глобальная координация
Региональные центры информационной безопасности работают в Америке, Европе, Азии, Индии и Китае. Они подчиняются головному офису и отвечают за соблюдение локальных требований, поддержку дочерних компаний и оперативное реагирование на инциденты.

Кибербезопасность: проактивная защита и единый центр реагирования

Компания рассматривает киберугрозы как один из ключевых рисков для бизнеса. Компания отмечает рост атак на облачные сервисы и цепочки поставок, а также увеличение случаев вымогательства и кражи данных. В ответ на это выстроена многоуровневая система защиты, основанная на принципе «трех линий обороны» и едином центре управления инцидентами.

Проактивный мониторинг
Основной акцент делается на раннем выявлении уязвимостей и сокращении поверхности атаки. Для этого используются глобальные базы угроз, централизованный мониторинг и повторная проверка высокорискованных сред, включая облачные инфраструктуры и устройства с доступом в интернет.

Управление уязвимостями
В производственных и разработческих подразделениях внедрены процедуры анализа и устранения уязвимостей. Приоритет — предотвращение простоев и минимизация ущерба от возможных атак.

Безопасность цепочек поставок
Компания проводит регулярные брифинги и проверки партнеров, повышая их уровень осведомленности и соблюдение требований безопасности. В работе с поставщиками действует принцип совместной ответственности — меры защиты внедряются по всей цепочке, от проектирования до эксплуатации.

Команды реагирования
В каждой бизнес-единице работают специализированные группы — PSIRT для продуктов и CSIRT для корпоративных систем. Они обмениваются данными, проводят совместные учения и координируют реагирование на инциденты в рамках общей стратегии Hitachi.

Защита данных: глобальные стандарты и локальное исполнение

Hitachi применяет единые правила работы с данными во всех странах присутствия. В 2023 году компания внедрила глобальный playbook — набор процедур, регулирующих хранение, передачу и удаление данных, а также действия при инцидентах.

Персональные данные
Особое внимание уделяется защите персональной информации. Компания соблюдает международные и национальные нормы — от европейского GDPR до законов Китая, Индии и Вьетнама. В каждом регионе назначены ответственные за выполнение этих требований, а сотрудники проходят регулярные тренинги и проверку знаний.

Приватность как элемент доверия
Соблюдение правил защиты данных рассматривается не только как юридическая обязанность, но и как фактор конкурентоспособности. Принципы конфиденциальности встроены в разработку решений платформы Lumada и других сервисов компании. Такой подход повышает прозрачность и доверие клиентов к продуктам Hitachi.

Контроль и аудит
Система защиты включает организационные, технические, кадровые и физические меры. Проводятся проверки, аудит обращений с персональными данными, контроль доступа к помещениям и устройствам, защита каналов передачи информации и удаление данных с носителей по установленным процедурам.

Взаимодействие и развитие: безопасность как коллективное усилие

Hitachi развивает культуру безопасности на всех уровнях — от сотрудников до партнеров и отраслевого сообщества. В центре внимания остаются обучение, технологические инициативы и независимая оценка соответствия международным требованиям.

Обучение и осведомленность
Сотрудников учат распознавать угрозы и действовать самостоятельно. Программы включают практические тренинги, симуляции инцидентов и кампании по развитию внимательности к подозрительным ситуациям. Компания стремится, чтобы каждый сотрудник воспринимал безопасность как часть своей работы.

Технологические инициативы
Hitachi разрабатывает решения с учетом новых нормативов и стандартов. Компания отслеживает европейские директивы NIS2, Cyber Resilience Act (CRA) и Digital Operational Resilience Act (DORA) — закон о цифровой операционной устойчивости в финансовом секторе. Для этого в структуре Hitachi действуют специализированные подразделения в Америке, Европе, Азии, Индии и Китае, которые напрямую подчиняются головному офису и взаимодействуют с региональными регуляторами. Такой механизм позволяет компании заранее адаптировать процессы и технологии под будущие требования.

Оценка и сертификация
Регулярно проводятся независимые проверки и сертификации соответствия международным стандартам. Такой подход обеспечивает прозрачность и подтверждает надежность корпоративных процессов защиты данных и кибербезопасности.

---

Отчет Hitachi Group Security Report 2024 отражает комплексный подход компании к управлению информационной безопасностью и развитию культуры ответственности. Hitachi формирует единую систему защиты, сочетающую технологические, организационные и образовательные меры, и координирует работу всех подразделений под единым принципом «One Hitachi». Такой формат управления позволяет компании поддерживать высокий уровень готовности к угрозам, соблюдать международные нормы и сохранять доверие клиентов и партнеров на глобальном уровне.