Приручить «черных киберлебедей»: как ИБ-директорам найти общий язык с топ-менеджерами

Почему разговоры о рисках не всегда приносят желаемые результаты

Если управляющие директора обеспокоены управлением рисками, связанными с растущей конкуренцией, высокой стоимостью цифровизации и сложностями с валютными переводами, а директор по ИБ видит опасность в росте числа уязвимостей и атак APT-группировок (Advanced Persistent Threat — целевая продолжительная атака повышенной сложности), планируя увеличение бюджета при отсутствии уверенности в результатах — недопонимание практически неизбежно.

Практически каждый специалист по ИБ видит в процессе управления рисками фундамент кибербезопасности, в основу которого положена терминологическая цепочка «угроза — вектор — уязвимость — ущерб — средства защиты». Так как количество уязвимостей, угроз и методов атак постоянно растет, разумным направлением развития ИБ видится непрерывное наращивание возможностей по предотвращению и реагированию на атаки и стремление закрывать все обнаруженные уязвимости как можно быстрее. Кажется, что эти действия должны привести к росту уровня зрелости процессов ИБ в компании, снижению рисков и соответствию лучшим практикам, что для специалиста по ИБ будет однозначным показателем успеха. Но будет ли такой результат соответствовать ожиданиям бизнеса?

Представим привычное предложение специалиста по ИБ совету директоров: «Частота атак на корпоративную почту и клиентский портал выросла на 85%, риск потерь высок. Покупка межсетевого экрана уровня веб-приложений и «песочницы» видится необходимой и оправданной мерой минимизации этого риска. Бюджет — 30 млн рублей».

А теперь представим, что предложение сформулировано иначе: «Текущие возможности ИБ не обеспечивают необходимого уровня киберустойчивости, это может привести к успешной кибератаке на клиентский портал и ущербу в несколько сотен миллионов рублей от снижения ARPU (средней выручки на одного пользователя). Выделение дополнительного бюджета на ИБ в размере 30 млн рублей позволит нам избежать этих потерь».

Второе звучит для топ-менеджмента убедительнее: в нем нет непонятных терминов, рассказов в парадигме «страх, неопределенность и сомнения», зато есть четко обозначенная бизнес-проблема и вариант ее решения с акцентом на результате, а не на необходимых средствах защиты.

Через недопустимое к безопасности

Что нужно сделать, чтобы переключить внимание CISO (chief information security officer, директор по ИБ) с привычного управления рисками на обеспечение стабильного функционирования ключевых элементов бизнеса в условиях постоянных кибератак? Проще всего начать с описания тех самых «черных киберлебедей» (мы называем их «недопустимыми событиями») в бизнес-терминах и определения условий их реализации. Недопустимые события — это события, возникающие в результате кибератаки, делающие невозможным достижение операционных и (или) стратегических целей организации или приводящие к значительному нарушению ее основной деятельности.

Для промышленного предприятия, например, это может быть шифрование IT-инфраструктуры, которое приведет к существенным финансовым потерям из-за остановки выпуска продукции на три дня, а для финансовой компании — утечка конфиденциальных данных клиентов, которая повлечет за собой потерю доверия и снижение продаж дополнительных услуг. Задача CISO заключается в том, чтобы помочь бизнесу обозначить такие события и принять правильное решение — не ждать их наступления, оставив киберзащиту на текущем уровне, а начать трансформацию ИБ и IT для повышения киберустойчивости.

Если вы решили действовать, важно распределить задачи между отделами IT и ИБ, наращивая возможности по защите, обнаружению и реагированию, параллельно трансформируя IT-ландшафт, затрудняя продвижение атакующих к целевым системам. Так мы достигаем состояния, при котором атака требует больше времени, чем ее обнаружение и блокировка, и это чаще всего заставляет злоумышленников переключиться на более легкие цели.

Хорошо, мы подготовились и вооружились, но значит ли это, что мы гарантировали полную защиту? Скорее всего, нет. Наши усилия значительно усложнили реализацию недопустимых событий, но достижение защищенности в определенный момент времени не означает ее сохранения в долгосрочной перспективе — нужен механизм постоянной проверки уровня киберустойчивости и совершенствования безопасности по мере появления новых бизнес-задач и внедрения новых цифровых технологий.

Какое-то время назад лучшим инструментом проверки защищенности было автоматизированное сканирование, ему на смену пришел классический пентест, когда приглашенным специалистом моделируется реальная атака хакера. Затем популярность приобрел red teaming, то есть комплексная имитация группы экспертов, проводящих проникновение в систему с помощью технических, социальных и даже физических средств. Все эти способы предполагают ограничения по допустимым для исследователей безопасности действиям, области атаки и отведенному для такого теста времени. Оплата при этом устанавливается не за качество результата, а только за проведение самих работ. Результатом мог стать отчет о «пробитии» периметра и список найденных уязвимостей, но этого не всегда достаточно, чтобы понять, как повысить киберустойчивость.

Участие в программах APT bug bounty, когда независимые исследователи выявляют способы реализации недопустимых для компании событий в условиях постоянно изменяющейся инфраструктуры, в отличие от пентеста или red teaming, не ограничено во времени, количестве привлекаемых независимых специалистов, возможности расширения условий, а вместо процесса в них оплачивается результат. Поэтому популярность таких программ и доверие к ним быстро растут.

Плановые работы VS экстренная ликвидация последствий

Требования к росту киберустойчивости, скорее всего, приведут к увеличению бюджета, выделяемого на процессы ИБ. Тут необходимо ответить на вопрос: насколько рост инвестиций будет разумен и оправдан? В поисках ответа можно опираться на подход EMIT optimisation (examination, maintenance, inspection and testing optimisation; экспертиза, техобслуживание, осмотр и тестирование), широко используемый в промышленности. То есть, определяя полную стоимость владения ИБ, мы суммируем операционные расходы и среднегодовой уровень потенциального ущерба от реализации недопустимых событий. В этом случае задача оптимизации сводится к поиску суммы, приемлемой для конкретного бизнеса.

Смысл подхода можно объяснить на примере автомобиля. Мы платим за плановые работы, чтобы избежать затрат на более крупный и внезапный ремонт; можно снизить возможность поломок, уменьшив интервал между ТО, но при этом стоимость обслуживания возрастет. Или, наоборот, можно увеличить интервал, сэкономив на ТО, но тогда появляется риск столкнуться с необходимостью оплатить дорогой ремонт в самый неподходящий момент.

ИБ может вести диалог с бизнесом в подобной парадигме, предлагая увеличить инвестиции в защиту и гарантируя таким образом снижение возможности получить намного больший ущерб от последствий недопустимых событий. И хотя этот подход не является панацеей (например, он плохо работает для государственных компаний), он может существенно упростить диалог с менеджментом и выгодно дополнить другие практики бюджетирования ИБ.

Мнение редакции может не совпадать с точкой зрения автора