Слово защите: как топ-менеджменту и службе информбезопасности выстроить диалог
От пузыря к органике
Все чаще в заголовках популярных СМИ мелькают новости, связанные с событиями, ранее интересными лишь узкому кругу профессионалов. Сообщения об утечках данных, взломах веб-сайтов, недоступности банковских приложений из-за DDoS-атак появляются буквально каждый день. При этом текущее развитие ситуации, а именно популяризация знаний о кибербезопасности, напоминает эволюцию информационных технологий: еще 25-30 лет назад это было увлечением гиков и небольшого числа специалистов-компьютерщиков, которое было не совсем понятно широкой аудитории, включая бизнесменов и предпринимателей. С ростом числа интернет-компаний, которые демонстрировали крупному бизнесу преимущества применения компьютерных технологий, произошел и экстенсивный рост стоимости акций этих компаний, известный сейчас как пузырь доткомов, сменившийся затем органическим.
В итоге высокотехнологичный индекс Nasdaq уверенно растет, а многие из переживших крах доткомов компаний — таких как Google, Amazon, eBay — стали лидерами уже сформировавшегося рынка. Бизнес же понял, что информтехнологии — это не «вещь в себе» и не система обеспечения (как водопровод или электричество), а существенное конкурентное преимущество и иногда даже способ выживания. Достаточно вспомнить экспоненциальный рост диджитализации производств, перевод большинства бизнес-процессов в онлайн и массовую удаленную работу во времена пандемии.
Подобную эволюцию в настоящее время претерпевает и сфера ИБ: то, что раньше было сферой интересов спецслужб и крупных финансовых корпораций, сейчас касается большинства компаний, которые хотя бы в какой-то степени используют IT и интернет. Пандемия невольно заставила бизнес существенно расширить применение IT, а начавшаяся «спецоперация»* и последовавшие за ней события — уход западных вендоров, отзыв лицензий на софт, шквал кибератак — обратили внимание компаний на безопасность и надежность недавно внедренных технологий.
Однако воспринимать кибербезопасность лишь как навязанную внешними обстоятельствами необходимость было бы не совсем верно: достаточно вспомнить эволюцию IT и преимущества, которые сейчас предоставляет бизнесу осознанное применение технологий. В случае грамотно выстроенной системы киберзащиты бизнес сможет не только полагаться на устойчивость и работоспособность своих информационных систем, но и поддерживать лояльность клиентов и свою репутацию надежного игрока и партнера, а также получать иные конкурентные преимущества — в зависимости от специфики деятельности конкретной компании.
Определимся с терминологией
Для наиболее эффективного взаимодействия диалог с бизнесом следует выстраивать с использованием общего терминологического аппарата, рискориентированного подхода при принятии решений, оценивать затраты на обеспечение ИБ в контексте ценности активов и стоимости реализации атаки для злоумышленников. Так, нужно опираться на определенные общепринятые термины:
- защита информации — это обеспечение ее целостности, конфиденциальности, доступности;
- угроза безопасности информации (или киберугроза) — это потенциальная причина возникновения инцидента ИБ, в результате которого могут быть нарушены свойства защищенности информации и нанесен ущерб интересам компании.
Киберугроза может возникнуть при наличии источника угрозы (внешних или внутренних нарушителей, третьих лиц), уязвимости актива (слабого места актива или его защиты), способа реализации угрозы (кибератаки, эксплуатации уязвимости), объекта воздействия (людей, информации, процессов, технологий) и, наконец, самого вредоносного воздействия и его последствий (например, утечка данных, заражение вирусом-шифровальщиком, хищение денежных средств). Оценка опасности атакующих, среди которых могут быть различные хакеры-одиночки, конкуренты, инсайдеры, киберпреступные группы или даже спонсируемые некоторыми государствами киберармии, производится с учетом наличия у них способов, мотивов, возможностей для реализации киберугроз, а также в контексте привлекательности конкретной компании для злоумышленников.
Применение рискориентированного подхода при управлении кибербезопасностью характерно для зрелых компаний, где, например, управляющий комитет по рискам принимает решения в том числе по киберрискам: как и любые риски, их можно принять, передать, избежать, минимизировать. Их минимизация до согласованного уровня должна выполняться с учетом стоимости реализации контрмер (это могут быть технические — с помощью средств защиты информации, а также организационные и физические меры защиты), стоимости защищаемого актива и стоимости атаки (т. е. ресурсов, которые придется затратить злоумышленникам для реализации кибернападения). Логично, что стоимость контрмер не может превышать стоимость актива — только в этом случае защита имеет смысл, а финансовый результат успешной компрометации актива атакующим должен быть больше, чем стоимость реализации атаки — только при таком условии кибератака будет экономически оправданна для злоумышленника.
Оценка за практику
Еще одной важной задачей ИБ является непрерывное предоставление бизнесу ситуационной осведомленности о текущем состоянии ИБ, уровне киберрисков и ландшафте киберугроз компании и их взаимосвязях, а также прогнозирование их дальнейшего изменения для обеспечения принятия рискориентированных управленческих решений. Такая информированность достигается за счет выполнения действий в соответствии с циклом «наблюдение — ориентирование — принятие решения — выполнение», т. е. так называемым OODA-циклом (observe, orient, decide, act), который пришел из военной науки, как и многое в сфере ИБ.
В контексте построения диалога киберзащитников с бизнесом можно отметить одну особенность отечественной ИБ: у многих директоров по безопасности, CISO (Chief Information Security Officer, директор по ИБ) и ИБ-специалистов, особенно у тех, кто в отрасли уже более 10-15 лет, есть опыт работы либо в силовых структурах, либо в спецслужбах. Такой бэкграунд нередко накладывает отпечаток на мышление и формирование картины мира человека, которому бывает сложно воспринимать свою деятельность не как отдачу директивных указаний, а как помощь в бизнес-ориентированном управлении киберрисками компании-работодателя.
Еще одна устаревающая история — это восприятие комплаенса как одного из главных драйверов ИБ: на самом деле соответствие законодательству, некоторое время назад даже породившее целый термин «бумажная безопасность», уже не основная причина обоснования инвестиций в кибербезопасность. Сейчас нужна именно практическая, реально работающая и эффективная кибербезопасность, а не «безопасность для галочки» в виде кипы утвержденных политик и регламентов, заботливо положенных на полку в ожидании прихода проверки регуляторов. Эффективный директор по ИБ должен не только быть business enabler'ом для компании и стейкхолдеров, но и участвовать в генерировании прибыли для компании, обеспечивая киберустойчивость применяемых технологий и демонстрацию конкурентных преимуществ за счет выстроенных процессов управления кибербезопасностью.
В заключение хотелось бы добавить, что до сих пор нередки случаи восприятия ИБ работниками различных компаний как некоего искусственно наложенного ограничения, неудобства, дополнительных сложностей. Без сомнения, одна из задач ИБ-руководителя — сделать кибербезопасность не только эффективной, но и удобной, простой и понятной для пользователей. Однако кибербезопасность компании — это ответственность всех сотрудников, кто так или иначе работает с информтехнологиями: пренебрежение правилами и теми самыми ограничениями ИБ приводит к успешной реализации кибератак с помощью часто используемых хакерами методов социальной инженерии. И напротив, выстроенный «социальный экран» из обученных и подготовленных работников, которые знакомы с методами реализации кибератак и умеют распознать приемы социальной инженерии (например, фишинг и телефонное мошенничество), поможет значительно повысить киберзащищенность компании без существенных затрат. Руководителям следует демонстрировать своим подчиненным положительный пример ответственного поведения, продвигая и поддерживая установленные правила ИБ в организации.
* Согласно требованию Роскомнадзора, при подготовке материалов о специальной операции на востоке Украины все российские СМИ обязаны пользоваться информацией только из официальных источников РФ. Мы не можем публиковать материалы, в которых проводимая операция называется «нападением», «вторжением» либо «объявлением войны», если это не прямая цитата (статья 57 ФЗ о СМИ). В случае нарушения требования со СМИ может быть взыскан штраф в размере 5 млн рублей, также может последовать блокировка издания.
Мнение редакции может не совпадать с точкой зрения автора