Тема защиты от кибератак для многих компаний, к сожалению, становится актуальной лишь тогда, когда они начинают подсчитывать убытки. Так, количество нападений в 2022 году выросло на 80%, причем 25 тыс. атак пришлось на госресурсы. Реалии прошлого года таковы, что сама необходимость использования решений для кибербезопасности сегодня ни у кого не вызывает сомнений и расходы на кибербезопасность растут. По оценкам аналитической компании Canalys, в 2022 году затраты в этом сегменте увеличились на 15,8% по сравнению с предыдущим годом и достигли 71,1 млрд долларов.
Государство уделяет этому вопросу большое внимание. Так, 1 мая 2022 года президент подписал Указ № 250, в котором возложил персональную ответственность за информационную безопасность (ИБ) на первых лиц компаний. В соответствии с документом свыше 500 тыс. российских компаний должны оценить уровень защищенности своих информационных систем. На ближайшие два года они также должны отказаться от иностранных средств киберзащиты и перейти на российские решения в этой области.
Классика vs результат
Практика показывает, что сегодня недостаточно приобрести набор средств защиты, чтобы чувствовать себя в полной безопасности. Хакеры становятся все более изобретательными, число успешных кибератак растет, как и объем убытков, которые бизнес может понести в результате кибератаки. По оценке Positive Technologies, общее число инцидентов, которые привели к негативным последствиям для компаний или частных лиц, в 2022 году увеличилось на 20,8% (см. график 1).
Решением проблемы становится переход от классического подхода к кибербезопасности к результативному (РКБ). И в России уже достаточно компаний, в том числе государственных сервисов, которые по этому пути успешно идут и реализуют программы Bug Bounty (выплата вознаграждения тому, кто сможет обнаружить реальную уязвимость в информационных системах компании). В их числе, к примеру, «Госуслуги», VK, «Азбука вкуса» и многие другие. При классическом же подходе компания приобретает необходимое решение, и только практика показывает, насколько оно способно защитить бизнес.
В свою очередь, результативная кибербезопасность дает бизнесу возможность адекватно оценить степень защищенности, а в дальнейшем сделать невозможными недопустимые для него события. После установки полноценной защиты она проверяется при помощи киберучений и Bug Bounty. Причем в любой момент можно увидеть и оценить результат своих инвестиций в информационную безопасность. От того же, какой путь выберет компания, зависит ее будущее и защищенность бизнеса и клиентов.
Человеческий фактор как фактор риска
Разница в классическом и результативном подходе ощущается практически во всех аспектах, касающихся внедрения и работы кибербезопасности в бизнесе. Пожалуй, один из наиболее важных вопросов — автоматическая защита. При классическом подходе к ИБ для обеспечения эффективной защиты необходимо множество высококвалифицированных сотрудников. При этом нужно понимать, что в России нет такого количества кадров, которые могут удовлетворить потребности полноценных центров мониторинга информационной безопасности (SOC, security operation center).
Так, в 2022 году в России открыли более 67 тыс. вакансий для ИТ-специалистов без опыта работы и около 310 тыс. — для сотрудников с опытом работы от одного до трех лет. При этом общее число соискателей в этих категориях составляет 214 тыс. человек, что вдвое ниже спроса, подсчитали в совместном исследовании Skillbox и HeadHunter.
Но даже если компания сможет обеспечить себе необходимый штат ИТ-кадров, это не отменяет потери интереса и выгорания работников. Как показывает практика (и это в первую очередь касается высокопрофессиональных специалистов), такие сотрудники часто вынуждены заниматься рутинными операциями. К тому же даже высокопрофессиональный эксперт не должен работать в режиме 24/7, разбирая огромное количество информации вручную, как это бывает при классическом подходе. Его знания и навыки будут больше полезны при творческих стратегических задачах и процессах.
Кроме того, для компании наличие большого количества кадров означает повышенные операционные затраты, увеличение риска влияния человеческого фактора. Между тем большинство рутинных операций, таких, например, как инвентаризация инфраструктуры, анализ срабатываний от различных средств защиты, сбор дополнительного контекста по инцидентам, поиск ответственных за ИТ-системы, приоритезация инцидентов по уровню угрозы, — вполне можно автоматизировать, используя необходимые ИТ-решения. Поэтому автоматической безопасности при внедрении результативной кибербезопасности придается такое большое значение.
Безопасность должна быть не только на бумаге
Еще одном важным вопросом эксперты называют разорванность целей бизнеса и кибербезопасности. Компания заинтересована максимально быстро вывести минимально жизнеспособный продукт (MVP) на рынок, часто не задумываясь о его безопасности. Более того, бизнесу далеко не всегда понятно, как устроена информационная безопасность, продукты для нее приобретают, но защита живет своей собственной жизнью. Получается, что по документам компания полностью защищена от киберрисков. При этом небезопасный продукт, которым пользуется бизнес, несет риск не только для самой компании-разработчика, но и для ее клиентов.
Топ-менеджмент исправно получает от CISO данные по количеству инцидентов, фишинговых писем, устранению уязвимостей и т. д. Но все эти метрики не дадут ответа, хорошо это или нет для компании. В результате бизнесу непонятно, происходит ли в данный момент какое-то непредвиденное и недопустимое событие, нужно ли предпринимать какие-то действия. При классическом подходе к кибербезопасности каждый продукт покрывает свою модель угроз. В совокупности компания может приобрести десять решений, «закрыть» ими десять векторов угроз, но все же не получить ответ: защищена ли она полноценно?
Но и в целом владельцы компании редко задумываются о проверке на практике уровня защищенности. Часто они не понимают, как проводить киберучения и зачем выходить на Bug Bounty, либо не имеют для этого средств. Кстати, для западных игроков вознаграждение за найденную уязвимость — распространенная практика. Подобные программы анонсировали, в частности, Intel, Yahoo, Snapchat, Dropbox, Apple, Facebook* и Google.
В нашей стране тоже есть компании, которые пошли по этому пути. Так, VK присоединилась к платформе The Standoff 365 компании Positive Technologies. Такие же программы объявляли «Одноклассники», Mail.ru, «Сбермаркет», Delivery Club, Ozon.
А Минцифры в 2022 году организовало проект по поиску уязвимостей в инфраструктуре электронного правительства на сайте «Госуслуги». За успешную работу багхантеры получат до миллиона рублей. В рамках проекта можно было присоединиться к программе и получить вознаграждение за обнаружение реальной уязвимости.
Недопустимого быть не должно
Результативная кибербезопасность — это комплексный подход и технические решения, которые позволяют обеспечивать сквозную защиту всей ИТ-инфраструктуры предприятий, ее корпоративных и технологических сегментов с учетом специфики производственной деятельности и бизнес-процессов. В числе недопустимых такие события, которые в случае их реализации повлияют на жизнеспособность бизнеса: кража активов, срыв контрактных обязательств, который повлек за собой колоссальные штрафы, и т. д. Причем для каждой компании и даже отрасли последствия таких событий бывают разными.
Результативный подход уже сменяет классический, причем тон этому переходу задает государство — например, в уже упомянутом указе № 250, который призван не просто защитить бизнес от кибератак, а исключить такую возможность в принципе.
Внедрение ИБ-концепции недопустимых событий в рамках результативного подхода помогает организациям не распыляться на все задачи и системы, которые у них есть. Эффективнее сразу так выстроить систему ИБ, чтобы недопустимых событий не происходило. Так появляется возможность оптимально использовать существующие ресурсы и направить внимание на самое важное.
Особое место в выстраивании результативной кибербезопасности занимает оценка важности для бизнеса недопустимых событий через уровень ущерба для организации. Существует три ступени недопустимых событии.
Первый — когда в организации случился киберинцидент, но она продолжает функционировать. Второй случай — когда определенный сервис может находиться в простое, но остальные отделы компании работают. Третий, самый сложный вариант, — когда в компании произошло событие, которое полностью остановило ее деятельность. Все эти случаи влекут за собой финансовые или репутационные потери, но в разном масштабе. Использование результативной кибербезопасности позволяет максимально нивелировать эти риски.
Как пройти путь к результативности
Для того чтобы неприемлемые события стали невозможными, надо поставить цель. На начальном этапе необходимо заручиться поддержкой топ-менеджмента, который должен объяснить всем заинтересованным сторонам в руководстве, какие бонусы эта стратегия принесет. Следующим шагом должен стать всесторонний анализ и определение того, что именно для компании будет недопустимым событием. После этого предстоит отобрать и внедрить необходимые решения. Отбор производится в том числе путем проведения киберучений, когда системы ИБ атакуются «злоумышленниками», действия которых нацелены на возникновение недопустимого события.
Например, в Positive Technologies практика киберучений распространена давно. Так, осенью 2021 года компания дала возможность любому желающему вживую наблюдать за их ходом, впервые в России и мире опробовав такой формат. Этому опыту предшествовали неоднократные киберучения без зрителей. Действующая инфраструктура, в том числе R&D-департамент, где разрабатываются продукты и пишется код, подвергалась реальным атакам белых хакеров. Атакующим противодействовал security operation center, развернутый на базе экспертного центра безопасности Positive Technologies.
По результатам киберучений, компания или идет по пути усиления защищенности систем и занимается усложнением инфраструктуры, или использует метапродукты для автоматической информационной безопасности. Как показывает практика, классический подход к кибербезопасности не обеспечивает защиту бизнеса компании и ее клиентов. Только результативный подход сегодня способен создать реальную защиту и автоматически обнаруживать кибератаки.
* Деятельность Meta (соцсети Facebook и Instagram) запрещена в России как экстремистская.