Из-за напряженной геополитической ситуации сегодня весь мир открыто атакует ИТ-инфраструктуру российских компаний. Поскольку от технологий зависит вся кровеносная система бизнеса, киберинциденты приводят к настоящим катастрофам внутри компаний. Растущий тренд наблюдался и до кризиса: по мере увеличения участия ИT в бизнесе, росла и поверхность возможной атаки. Согласно
исследованию ESG, 82% организаций считают, что за последние два года киберриски для них увеличились. А по данным Deloitte — интерес к киберрискам со стороны советов директоров и потребность в разработке ИБ-стратегии растет ежегодно.
Как руководители оценивают эффективность мер защиты?
Поскольку киберриски становятся значимым фактором для бизнеса, это вынуждает топ-менеджмент глубоко погружаться в вопросы безопасности. Киберпреступники могут уничтожить бизнес, нажав на кнопку: убить скот на всех фермах, остановить производство без шансов на возобновление, вывести деньги со счетов.
Проблемы информационной безопасности уже вышли на уровень совета директоров крупных компаний. Но в создании стратегии защиты возникают сложности — отдел безопасности рассказывает о своей работе, предлагая в качестве отчета тепловую карту рисков. Если бюджет возрастет на условные 12%, то часть рисков перейдет из красной зоны в желтую, а значит, какие-то части инфраструктуры станут безопаснее. Уровень неопределенности таких данных стремится к бесконечности. Руководители не понимают, много ли они тратят на безопасность или мало.
Куда направить прибыль — оборудовать складское помещение или купить новый фаервол? Что окажется лучше для компании — дополнительный бухгалтер или ИБ-специалист? Что выгоднее — сделать новый сайт или потратиться на исправление багов в текущем?
Дилемма, постоянно возникающая перед бизнесом: инвестировать в снижение риска потери денег, или в увеличение прибыли, но с возможной опасностью.
Оценить абсолютно все потенциальные риски невозможно даже теоретически. Злоумышленники находятся в постоянном поиске новых способов атаки, и то, что вчера считалось безопасным, завтра может оказаться угрозой.
Чтобы принять правильные решения, следует сосредоточится только на тех рисках, из-за которых компания понесет максимальные потери. И оценить, сколько ресурсов требуется, чтобы нейтрализовать каждую из подобных угроз. Это позволит рассчитать плечо инвестирования — соотношение рисков к затратам.
Как учесть все киберриски?
Бизнес — это точная наука. Устойчивое развитие в цифровую эпоху больше невозможно без понятных и прозрачных методов оценки киберрисков. Недостаточно внедрить средства защиты и антивирусы, а также соблюдать выполнение стандартов ИБ, чтобы думать, что компания защищена от кибератак. Необходимо всегда задавать себе два основных вопроса:
какова вероятность того, что ваша компания будет интересна для злоумышленника?
какова вероятность того, что при атаке будут достигнуты критичные для бизнеса цели?
Существует множество методологий риск-менеджмента, которые помогают внедрять консалтинговые компании «большой четверки». Самые популярные: FRAP (Facilitated Risk Analysis Process), FMEA (Failure Modes and Effect Analysis), FAIR (Factor Analysis of Information Risk).
Вне зависимости от методологии, для анализа киберрисков следует их декомпозировать и сопоставлять с наиболее важными бизнес-рисками. Для этого нужно собрать бизнес-инициативы, определить степень их зависимости от технологий и спрогнозировать сценарии возможных атак, а также перспективу их влияния на компанию.
Например, бизнес может сформулировать перед собой цель — автоматизировать производство. Возможный кибер-риск — полная остановка производственного процесса и требование выкупа злоумышленниками. Последствия такого сценария — потеря доли рынка, финансовые и репутационные потери.
Описанные последствия совет директоров уже может оценить в финансовых показателях. Также можно рассчитать вероятность остановки производства до того, как угроза будет обнаружена и нейтрализована. Это позволяет построить график зависимости финансовых потерь от вероятности киберриска. Сравнение этих графиков поможет ответить довольно точно — в какие инструменты ИБ и какую сумму следует инвестировать.
Как проверить, что внедренные меры контроля и защиты работают эффективно?
Хакер-одиночка, студент, взламывающий систему для развлечения, или сложившаяся группировка — это разные ресурсы, возможности и частота атак. Необходимо смоделировать и оценить разные сценарии атак. Понять, что принесет наиболее вероятный ущерб.
Чтобы удостоверится в том, что при реальной кибератаке существующие меры контроля и защиты действительно сработают, нужно на практике проверить, что злоумышленники не достигнут критичных для компании целей. Единственный способ выяснить это — провести имитацию таргетированной атаки, где в качестве целей будут указаны наиболее важные для компании активы. Говоря языком ИT, необходимо регулярно проводить пентесты (тесты на проникновение) инфраструктуры компании, которые позволяют получить реальную картину защищенности бизнеса от кибератак.
Взлом любой системы — это всего лишь вопрос времени и затраченных ресурсов. Цель пентеста — не обнаружить конкретные уязвимости, а получить ответы на два вопроса:
каков уровень злоумышленника, способного достигнуть критических целей. Сможет ли обычный «школьник» это сделать или это получится только у профессиональных группировок?
насколько сделанные инвестиции в ИБ действительно эффективны с учетом реального ландшафта угроз?
Благодаря пентестам, топ-менеджеры получают необходимые данные для принятия дальнейших управленческих решений и корректировки стратегии ИБ.
Что мешает компаниям добиться защищенности?
Цели и задачи, которые обсуждает совет директоров, «спускаются» ниже по иерархии к исполнителям, и ИБ-специалисты тут не исключение. При этом возникает ряд сложностей, связанных с тем, как именно проконтролировать расходы на кибербезопасность.
1. Во многих компаниях у CISO нет полномочий на своевременное и правильное принятие решений.
Крупные компании понимают, что нужно расширять полномочия CISO и поднимать их уровень ответственности. Это привело к тому, что сегодня наблюдается общемировой тренд включения представителей ИБ в состав совета директоров или делегирования ответственности за это направление кому-то из его действующих членов. Исследование ESG показало что, когда члены совета директоров больше вовлечены в функцию кибербезопасности, они задают сложные вопросы, глубже разбираются в проблемах и с большей вероятностью перейдут от технических к бизнес-вопросам. Deloitte также отмечает, что в США число директоров по информационной безопасности, которые отчитываются перед советом директоров, увеличилось с 32% в 2019 году до 42% в 2021 году, а по всему миру достигло 33%. Сегодня бизнесу нужно еще более напряженно работать, чтобы поддерживать конкурентоспособность на фоне стремительных технологических изменений, существенно повышающих уязвимость компаний для кибератак.
2. Бизнес и безопасники нередко говорят на разных языках, что приводит к сложностям «перевода».
Опыт команды Awillix показывает, что наиболее полные и объективные результаты удается получить, когда цели для пентеста формулируют топ-менеджеры и главы компаний. Давайте для примера сравним постановку целей на языке бизнеса и ИБ.
Руководители ставят задачи для имитации атаки:
Получить доступ к управлению расчетными счетами
Получить контроль над производством
Вывести чувствительные данные
Получить контроль над системами безопасности (СКУД, видеонаблюдение, пропуска)
Физически проникнуть в офис
Оценить работу внутренней службы ИБ
ИБ-специалисты формулируют задание для имитации атаки:
Выявить все уязвимости в системе
Найти все уязвимости в исходном коде приложений
Выполнить DDOS тестирование сервера
Выполнить попытки обхода средств защиты
Идентифицировать возможность фрода или мошенничества в конкретной системе
Постановка задачи со стороны ИБ нередко оказывается сфокусированной на локальной задаче и требует дополнительной расшифровки для членов совета директоров, а значит, и дополнительной аргументации. Аналогичная ситуация и с условиями, в которых проводится пентест, — ИБ-специалисты чаще всего предоставляют список IP-адресов, исходные коды, добавляют в белые списки адресов, подключают к общению с внутренними командами ИБ, а руководители могут указать только название компании в качестве исходных данных. Тест на проникновение, сформулированный на языке бизнеса, обычно получается более объемным и менее сложным в запуске для компании-заказчика.
Подобные проекты также принято называть термином — Red Team. Red Team — дружественная атакующая команда. Не имеющая ограничений в методах достижения целей (кроме физического воздействия на персонал, реального подкупа, и привлечения общественности) и большим сроком исполнения проекта.
По данным крупнейшей исследовательской компании Marketsand Markets, объем мирового рынка тестирования на проникновение вырастет с $1,6 млрд в 2021 году до $3,0 млрд к 2026 году при совокупном годовом темпе роста на уровне 13,8%.
Необходимость Red Team осознают только зрелые с точки зрения ИБ компании, которые уже научились управлять киберрисками и выстроили подход к их грамотной оценке. Проблемы российского бизнеса связаны с тем, что большинство руководителей не вовлечены в управление киберрисками самостоятельно, но при этом ограничивают своих CISO в полноценном управлении киберрисками.
Что в итоге?
Оценивать киберугрозы в финансовых показателях — единственный жизнеспособный метод построения защиты без растраты бюджета.
Для оценки инвестиций в ИБ нужно выделять критические для бизнеса задачи и просчитать стоимость их защиты в отдельности.
Формулировать задачи для ИБ-специалистов могут и должны руководители бизнеса.
Для эффективной работы, CISO должен быть погружен в бизнес-задачи и иметь достаточно полномочий для принятия оперативных решений.
Интересы бизнеса и задачи ИБ-отдела должны быть синхронизированы.
Тесты на проникновения или Red Teaming — практический способ проверки работоспособности защитных мер.