За последние несколько лет радикально изменился ландшафт ИБ. Если раньше мы говорили о защите корпоративных сетей и информационных систем, то сейчас на первый план выходит защита бизнеса и всех субъектов информационного обмена — серверов и сетевой инфраструктуры, каждого сотрудника и контрагента компании.
Информационные технологии все глубже проникают в бизнес-процессы. Большинство предприятий практически полностью перешли на электронный документооборот и не мыслят своей работы без ИТ-систем. Уровень информационного взаимодействия компаний и их клиентов очень высок и постоянно растет, ведение бизнеса уже немыслимо без компьютеров, Интернета, электронной почты...
При этом современные злоумышленники хорошо подготовлены, могут иметь в своем распоряжении абсолютно неожиданные инструменты взлома и используют все более мощные и изощренные методы. Например, не так давно появившийся класс угроз, известный как целенаправленная атака (APT), быстро стал более чем актуальным и продолжает активно развиваться. Злоумышленники не гнушаются ни традиционными, ни вновь появляющимися способами проникновения/компрометации, которые множатся с каждым днем, — это и использование уязвимостей, и связь с контрагентами, и методы социальной инженерии, и т.п.
Условная безнаказанность хакерской деятельности привела, по сути, к формированию новой отрасли теневой экономики. Помимо «традиционных» хакеров на сцену выходят «хактивисты», которые ломают сети простоиз интереса или «впрок», хакерские группировки с сильной финансовой мотивацией, террористы, добивающиеся политической или финансовой дестабилизации, государственные спецслужбы, ведущие разведывательною или диверсионную деятельность. Мало того, они формируют временные или постоянные сообщества. И все это — в условиях размывания корпоративного периметра, развития облачных сервисов и популярности работы вне офиса. Особенно эволюция угроз заметна в кредитно-финансовой отрасли, так как здесь хакеры получают непосредственный доступ к деньгам и могут быстро капитализировать свои усилия.
Парадигма выживания
Давайте признаем, наконец, что на 100% исключить риск компрометации ИС попросту невозможно. А значит, пора менять парадигму защиты на парадигму выживания! Пора окончательно перейти от противодействия гипотетическим угрозам к риск-ориентированному подходу к поддержке бизнеса. Тогда нашей целью станет обеспечение устойчивости бизнес-процессов в киберпространстве, т.е. способность организации выживать во время атак и инцидентов и быстро восстанавливаться.
Киберустойчивость — это, прежде всего, способность предотвращать, идентифицировать и минимизировать ущерб от инцидентов, позволяющая организации продолжать работу и зарабатывать в любой ситуации. И ее нельзя рассматривать в отрыве от бизнес-процессов и учета организационной структуры компании.
Традиционно защита считается компетенцией подразделений ИБ и, в какой-то мере, ИТ, которые отвечают за выбор, приобретение и внедрение средств защиты. Однако длинная череда разрушительных утечек информации в Yahoo!, Cisco, Oracle, SWIFT, Sony и других известных компаниях приводит к выводу о необходимости изменения ролей и ответственности. Бессмысленно оставлять обеспечение киберустойчивости исключительно за службой ИБ (как было с защитой инфраструктуры) — она умеет ловить злоумышленников вне и внутри компании, а не управлять бизнес-системой, которая должна продолжать ехать даже без колес или тормозов. Ответственность за надежность, защиту и целостность корпоративных сетей все больше смещается к руководителям и советам директоров.
Эту тенденцию ярко продемонстрировал недавний международный экономический форум в Давосе. Экспертная рабочая группа подготовила отчет «Повышение киберустойчивости: принципы и инструменты для совета директоров», в котором говорится: «Многие эксперты в области цифровой безопасности сходятся во мнении, что киберустойчивость — в большей степени стратегия и культура, чем тактика. Говорить только о кибербезопасности недостаточно на фоне всеобщей цифровизации бизнеса. Защита важна, но организация должна разработать и стратегию обеспечения жизнестойкости сетей, чтобы использовать преимущества цифровизации. Систематическая природа киберугроз требует новой реакции от руководителей бизнеса». Данный отчет стал первым документом, предлагаемые в котором принципы и инструменты должны помочь руководителям выбирать стратегию кибербезопасности, повышать уровень кибергигиены и киберустойчивости компаний.
Человеческий firewall
Масштабы распространения персональной информации сотрудников предприятий достигли невероятных размеров. Люди все больше рассказывают о себе публично, не понимая, какие это может порождать угрозы для них и их компаний. А ведь современные технологии позволяют широкомасштабно применять приватные данные не только госструктурам и частным компаниям. Располагая такой информацией и пользуясь недостаточной киберосведомленностью сотрудников, злоумышленник вполне может обходиться без дорогих и сложных систем обхода NGFW и IPS. Компании тратят деньги на компьютерные технологии защиты и противодействия, а не на самую эффективную защиту – «человеческий firewall». При этом обеспечение киберустойчивости — прежде всего, вопрос нового подхода к организации бизнес-процессов. Задача руководителя — создать в компании сильную киберкультуру, в рамках которой каждый сотрудник станет эффективным звеном устойчивости. При внедрении технологий киберустойчивости и создании систем безопасности следует учитывать: наряду с противодействием угрозам важна способность таких систем влиять на поведение сотрудников, обнаруживать и корректировать аномалии их поведения. Это позволит не только повышать безопасность бизнеса, но и оптимизировать его, увеличивать эффективность.
Чтобы стать киберустойчивыми, мы должны быть хорошо подготовлены к изменениям, непрерывно происходящим вокруг. Как ни парадоксально, первый шаг — принять тот факт, что невозможно контролировать все и вся, и предоставить сотрудникам определенную свободу. Это означает не то, что нужно пустить их поведение на самотек, а то, что необходимо делегировать им контроль (например, над использованием электронной почты) и отслеживать, как они его осуществляют.
Следует определять для сотрудников безопасную «траекторию» деятельности и принуждать их к «хорошему поведению» — безопасному и эффективному. Недостаточно просто игнорировать e-mail и сообщения социальных сетей. Нужно научить сотрудников, как распознавать попытки манипуляций сознанием и использовать постоянно действующий комплекс самоограничений (не принимать решения рано утром или поздно ночью, оценивать реальность предложений, приходящих по почте, не открывать на рабочем компьютере неожиданное письмо от друга, который не писал много лет, и пр.).
Такое поведение позволит предотвратить до 90% кибератак. Мы выходим на новый горизонт: вопрос киберустойчивости бизнеса может быть органично расширен до обшей устойчивости бизнеса. Скажем, системы поведенческого анализа не только помогают обнаруживать аномалии и инциденты, но и являются одним из инструментов управления бизнес-процессами организации, контроля над использованием Интернет и дают понимание того, чем живут ваши сотрудники.
Подходы к реализации киберустойчивости
Что позволит информационным системам организации продолжать функционировать при компрометации или даже полном отказе их компонентов?
Для быстрого выхода из сбоя без потери сервиса необходимо наличие достаточного (читай – избыточного) количества ресурсов, иначе выстоять практически невозможно. При этом за доступность и, в том числе, избыточность ресурсов обычно отвечают ИТ-подразделения, с которыми у ИБ-служб идет непрерывная борьба за бюджеты. Как правило, ИТ-подразделения, планируя развитие, учитывают классические технические сбои и не особо учитывают непрогнозируемые действия злоумышленников. Тут-то и появляется повод объединить усилия. А для его реализации вопросы киберустойчивости необходимо рассматривать в разрезе всего бизнеса, а не отдельных структурных подразделений. Это — задача владельца бизнеспроцессов, а не служб, обеспечивающих их функционирование.
Имеются два основных подхода к обеспечению киберустойчивости бизнеса:
- плановая устойчивость — организация предусматривает избыточность всех компонентов инфраструктуры, и тогда при сбое любой комбинации компонентов система продолжает функционировать. Такой подход требует тщательного планирования, развитой системы обнаружения и устранения инцидентов, ну и, конечно, немалых инвестиций;
- адаптивная устойчивость — компания имеет очень хорошо обученный персонал, способный обеспечить ее функционирование в любых произвольных условиях. Понятно, что в этом случае нет заранее утвержденного плана противодействия и восстановления. Такой подход требует меньше инвестиций в технологии, а больше — в обучение персонала и формирование команды. В результате нужно получить самоорганизующуюся команду, способную адаптироваться самой и адаптировать бизнес-процессы в новых условиях, и все это должно регламентироваться корпоративной политикой киберустойчивости. Естественно, необходимо снабдить команду необходимым инструментарием и методологией работы в сложных и критических ситуациях.
Конечно, это — крайности, и каждая конкретная компания должна выбрать для себя наиболее подходящий для нее подход. Итак, обеспечение киберустойчивости представляет собой вопрос не столько качества инфраструктуры информационной безопасности, сколько формирования устойчивой корпоративной культуры кибербезопасности и ответственности. Необходимо следующее:
- помнить, что киберустойчивость зависит от каждого сотрудника компании;
- повышать уровень информированности сотрудников и их вовлеченности в процесс обеспечения киберустойчивости;
- организовывать регулярные обучение и контроль над уровнем осведомленности сотрудников;
- создавать культуру кибергигиены как внутри, так и вне организации;
- помнить, что киберустойчивость подразумевает непрерывный процесс, а не разовые мероприятия.
АНДРЕЙ АКИНИН
генеральный директор Web Control