Указ президента о дополнительных мерах по инфобезопасности бизнеса затрагивает более 500 тыс. российских компаний (ваша — скорее всего в их числе). Фактически это требование стать «более защищенными» — но как это сделать? Первый шаг — определить недопустимые для бизнеса события и с какими рисками можно мириться, а с какими — нет.
Советами о том, как правильно это сделать, эксперты Positive Technologies поделились в рамках открытого образовательного проекта #Агент250 .
Указ президента направлен на повышение устойчивости и защищенности информационных ресурсов российских компаний. В рамках Указа персональная ответственность возлагается на руководителя организации. Назначить заместителя генерального директора по ИБ — одна из его обязанностей. В зону ответственности руководителя также входит построение системы защиты, которая позволит избежать реализации недопустимого для компании события. Зачастую на этом пути бизнес сталкивается со следующими сложностями:
- Специалисты по ИБ сфокусированы на общепринятых киберрисках и не знают, что по-настоящему волнует бизнес. Технические эксперты чаще всего сосредоточены на закрытии уязвимостей и соблюдении политик безопасности и не принимают во внимание интересы бизнеса. Так, ключевыми рисками для специалистов по ИБ будут необновленные ОС и устаревшие базы средств защиты. При этом решение о выделении ресурсов на обработку риска принимает высшее руководство; для него такая опасность не приоритетна, потому что не связана напрямую с бизнес-процессами.
- Предвзятость бизнеса к вопросам информационной безопасности. Эта ошибка свойственна развивающимся компаниям. Однако и зрелые организации, несмотря на свой многолетний опыт, попадают в ловушку искаженного восприятия актуальной ситуации. Так, многие компании полагают, что если за прошедшие годы бизнес не испытывал трудностей из-за кибератак, то текущий уровень защиты достаточен и сфера их деятельности неинтересна злоумышленникам. Но это ложные убеждения: по мере развития цифровых технологий модернизируются и бизнес-процессы организации, и умения преступников, поэтому надо защищаться от актуальных методов и тактик кибератак.
- Слабая коммуникация между бизнесом и специалистами по ИБ. Топ-менеджмент понимает направление развития своего бизнеса на несколько лет вперед и учитывает события, которые могут помешать компании. На этом этапе важно воздержаться от предубеждений о невозможности кибератак и постараться открыто обсудить со специалистами по ИБ вероятные сценарии реализации недопустимых событий.
Первый шаг при определении недопустимых событий — выделить, что именно критически опасно для бизнеса и какие случаи могут привести к его остановке. Например, российская микрокредитная организация «Главфинанс» не сможет существовать без денег — ее деятельность связана с предоставлением займов, на счетах компании не хранятся какие-либо клиентские средства. Таким образом, «Главфинанс» в случае атаки злоумышленников потеряет только собственные деньги, что приведет к полной остановке бизнес-процессов.
Важно, чтобы инициатива в определении недопустимых событий исходила от представителей топ-менеджмента либо активно поддерживалась ими, иначе есть риск повтора ситуации, при которой технический специалист может неверно сформулировать гипотезы.
Чек-лист для определения недопустимых событий:
1. Подготовить перечень гипотез недопустимых событий для обсуждения с топ-менеджментом.
2. Сформулировать недопустимые события в масштабе организации совместно с высшим руководством.
3. Смоделировать сценарии реализации недопустимых событий совместно с представителями бизнес-подразделений.
4. Разделить сценарии реализации недопустимых событий на уровни IT-инфраструктуры.
5. Сформировать итоговый перечень недопустимых событий, учитывающий сценарии реализации, целевые и ключевые системы.
6. Утвердить перечень недопустимых событий на уровне руководства.
Пользуясь этой методикой, можно определить остальные недопустимые события, которые так же нежелательны, как потеря денег для «Главфинанса», но не приводят к полной остановке деятельности организации. Заместитель директора по развитию в компании Татьяна Белоглазова с помощью экспертов Positive Technologies выделила еще три гипотезы:
1. Потеря доступа к данным. Атаки цифровых вымогателей — еще одно недопустимое практически для любого бизнеса событие. По статистике Positive Technologies, в 2022 году злоумышленники доставляли вредоносное ПО в организации через электронные письма в 42% случаев. Многим на почту приходят подозрительные письма, и «Главфинанс» не исключение. Хакеры неприцельно (на все доступные им корпоративные адреса) рассылают фишинговые письма в надежде «подцепить» доверчивого сотрудника. Платой за невнимательность может стать заражение корпоративной сети и шифрование данных. При этом стоит учитывать, что удовлетворение требований злоумышленника о выкупе доступа не гарантирует возвращения информации владельцу.
2. Изменения в базе данных компании. Микрофинансовая организация отчитывается обо всех транзакциях перед Центробанком, Федеральной налоговой службой и бюро кредитных историй. В случае если, например, злоумышленник заменит заемщика X на заемщика Y, то у всех этих органов могут возникнуть вопросы к деятельности «Главфинанса». Компании предстоит потратить недели и месяцы на то, чтобы узнать, что это было: атака извне или же ошибка, допущенная сотрудниками.
3. Утечка персональных данных. Событие влечет за собой репутационные риски. Законодательством также предусмотрены штрафы за утечку персональных данных россиян, и рассматривается вопрос о введении оборотных штрафов для организаций, которые ее допустили.
На следующем этапе топ-менеджменту «Главфинанса» необходимо совместно со специалистами по ИБ проработать сценарии реализации недопустимых событий. Такой же путь следует проделать каждому руководителю российской компании, вне зависимости от размера бизнеса. Активная позиция руководства — один из ключей к определению недопустимых событий и к построению результативной кибербезопасности в условиях агрессивной цифровой среды. Получить доступ к этому ключу можно, собрав воедино все его части — чек-листы, лучшие практики и отработанные методики.
Построение результативной безопасности не заканчивается на определении недопустимых событий. Указ № 250 вызвал в деловом сообществе множество вопросов: как привить сотрудникам кибергигиену, как распределить задачи между службами IT и ИБ, привлекать ли к кибербезопасности аутсорсеров и, наконец, как убедиться в том, что все не зря и злоумышленники не смогут реализовать недопустимое? Найти ответы самостоятельно практически нереально, поэтому российская отрасль ИБ дает возможность стать частью живого комьюнити и вместе строить безопасное будущее.
https://vc.ru/flood/719319-kak-opredelyat-nedopustimye-dlya-biznesa-sobytiya