Шпаргалки для киберкомиссаров

Конфликт на Украине привел к резкому увеличению количества кибератак на российские предприятия. Причем зачастую атакующие – это люди с низкой квалификацией, примыкающие к более профессиональным киберпреступникам. «Мы видим киберфольксштурм, которому раздали инструменты. Они ничего не понимают, но у них есть инструкция, и они по ней действуют», – так на онлайн-конференции AM Live+, посвященной управлению рисками информационной безопасности, объяснила рост числа атакующих Юлия Воронова, директор по консалтингу Positive Technologies. Интенсивность атак также повысилась. К внешним злоумышленникам все чаще добавляются инсайдеры, что, по мнению эксперта по исследованиям угроз информационной безопасности Центра исследования безопасности промышленных систем «Лаборатории Касперского» Владимира Дащенко, меняет ландшафт угроз. 

Появились и «черные лебеди» – события, которые до того, как они произошли, казались почти невозможными. Так, если уход с российского рынка иностранных вендоров, в том числе тех, которые поставляют оборудование для систем информационной безопасности, еще можно было заложить в модель угроз, то сознательное внедрение в продукты open source вредоносного для определенных стран кода, – это, как считает Марат Цихмистров, руководитель направления консалтинга по информационной безопасности ГК Innostage, классический «черный лебедь», событие, которое раньше невозможно было представить.

Изменилась ситуация, изменились и угрозы и вероятности их реализации. Компаниям необходимо обновить модель угроз и риск-профиль, и руководство должно быть готово принять новые риски или предпринять шаги по их нейтрализации. Однако даже среди участников конференции лишь 40% пересмотрели риск-профиль своей организации (рис. 1).

При этом главным риском кибербезопасности слушатели сочли остановку бизнес-процессов (рис. 2).

Остановка бизнес-процессов ставит под угрозу само существование бизнеса. «Никто не отменяет управление рисками и необходимость оценки вероятности событий, но шаг ноль – выявление недопустимых событий, приводящих к критичным для функционирования бизнеса последствиям, и защита от них. Это базовый уровень информационной безопасности. Сейчас надо сосредоточиться на кибервыживаемости – защите от недопустимых событий», – заявила Ю. Воронова.

«Наша основная задача – не просто дать бизнесу выжить, а помочь стабильно и устойчиво работать и развиваться», – возразил М. Цихмистров. По мнению эксперта, лучше говорить не о кибервыживаемости, а о киберустойчивости. Да и киберриски – это не только риски информационной безопасности.

«С точки зрения управления рисками кибервыживаемость – частный случай. Возможно, в будущем мы придем от классического управления рисками к кибервыживаемости. Но большая часть компаний придерживается классического подхода, когда оцениваются не только критичные бизнес-процессы, а безопасность всех активов», – уверен В. Дащенко.

Нужно принимать во внимание цену вопроса. Если стоимость внедрения системы информационной безопасности больше, чем потери от нейтрализуемых угроз, то незачем тратить на нее ресурсы, разумнее риски принять. Но не следует впадать и в другую крайность – защищать только жизненно важные процессы и системы, а для остальных установить высокий приемлемый уровень потерь и ничего не делать для нейтрализации угроз, несущих меньшие убытки. Если есть недорогие системы защиты, развертывание которых обойдется намного дешевле, чем ликвидация последствий реализовавшихся операционных и репутационных угроз, то их целесообразно установить. 

Если риски для отрасли в целом должны оцениваться независимыми структурами или регулятором, то важность рисков для конкретного предприятия определяет его руководство. Государство заниматься этим не может и не должно. Критичные для бизнеса события должно назвать высшее звено руководства – руководитель предприятия или его заместитель, на которого, согласно Приказу Президента РФ № 250, возложена ответственность за информационную безопасность организации. Среди обязанностей «киберкомиссара» – оценка уровня киберзащищенности предприятия. Эта работа начинается с формирования перечня недопустимых событий, утверждаемого руководством. Причем в перечень должны входить и события, недопустимые для отрасли в целом. «Надо выделить две категории – риски для предприятия и риски для отрасли как части государства. Есть вещи важные для государства, которые повлекут риски функционирования отрасли и жизнедеятельности граждан», – отметила Ю. Воронова.

В выборе направлений защиты руководители компаний могут опереться на создаваемые отраслевые шаблоны («тепловые карты» киберрисков) с перечнем угроз и численной оценкой вероятности их реализации на предприятиях отрасли. Такую карту использует, в частности, американская компания Cowbell для страхования киберрисков предприятий. В ее перечень угроз вошли: атаки на сетевую и облачную инфраструктуру, на финансовые транзакции, кибервымогательство и т.д. Например, для горнодобывающей промышленности, по мнению Cowbell, наибольшие риски представляют атаки на цепочки поставок, и компаниям отрасли особое внимание стоит уделять защите именно от этих угроз. Наиболее подверженными угрозам ожидаемо оказались финансовая отрасль и страхование: соответственно за страховку от киберинцидентов с финансовых предприятий стоит брать больше.

Разработка тепловых карт киберрисков ведется и в России. Между тем Евгений Сачков, эксперт по управлению рисками компании «Информзащита», к оценке вероятности недопустимых событий отнесся скептически, указав, что такие события зависят не только от отрасли, но и от популярности компании, ее активности в медийном поле, проработанности системы защиты и т.п. По его мнению, оценивать риски для конкретной компании следует с помощью не обобщенных тепловых карт, а специальных систем на основе факторного анализа для статистического моделирования и оценки ущерба в денежном эквиваленте. Однако большинство слушателей с этим не согласилось. Половина опрошенных сочла, что отраслевые тепловые карты киберрисков помогли бы оценить риски их организаций, по крайней мере в первом приближении (рис. 3). Ведь не все компании имеют соответствующую экспертизу и могут провести более точный анализ. 

В. Дащенко добавил, что для оценки существующих угроз также необходимо отслеживать информацию государственных, отраслевых и коммерческих центров реагирования на инциденты безопасности (CERT), предупреждающих о повышенных рисках атак на отдельные отрасли и их типах.

Но в главном все эксперты единодушны – нельзя ограничиваться «бумажной» безопасностью, выпуском и согласованием документов, важных для регулятора и для понимания ситуации с кибербезопасностью внутри предприятия. Нужно не просто оценить риски и составить нужные бумаги, а на основании проведенного анализа принять конкретные организационно-технические меры, направленные на их снижение.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

<< Предыдущая статья   Вернуться к содержанию   Следующая статья >>