Инвестиции в кибербезопасность: как правильно прогнозировать риски атак и затраты на защиту

Инвестиции в кибербезопасность: как правильно прогнозировать риски атак и затраты на защиту

Киберпреступники могут остановить бизнес-процессы компании, нажав на кнопку. Если они проникли вглубь IT-инфраструктуры, которая обеспечивает автоматизацию процессов, то способны убить скот на всех фермах, остановить производство без шансов на возобновление, вывести деньги со счетов. Такие прецеденты хоть и скрываются, но происходят довольно часто.

На кону слишком многое, чтобы отдавать эти процессы на откуп техническим руководителям целиком. Буквально в конце октября группа хакеров OldGremlin потребовала от атакованной компании 1 млрд. рублей за восстановление доступа к данным. Это рекорд по сумме требуемого выкупа в России.

Инвестиции в безопасность против русского «авось»

Основная проблема в стратегии защиты — это мискоммуникация (недопонимание - прим. ред.) собственников компаний и специалистов по информационной безопасности. Отдел безопасности показывает в качестве отчета тепловую карту рисков: если мы потратим на условные 12% больше бюджета, то часть рисков перейдет из красной зоны в желтую, а значит какие-то части нашей инфраструктуры станут безопаснее.

Уровень неопределенности таких рассуждений стремится к бесконечности. Руководители не понимают много ли тратят на безопасность или мало.

Собственникам очевидна польза от оборудования складского помещения и совсем не ясно, что изменит новый фаервол (технологический барьер, который защищает сеть от несанкционированного или нежелательного доступа - прим. ред.).

Александр Герасимов
Директор по информационной безопасности и сооснователь Awillix, эксперт в области тестирования на проникновение и анализа защищенности

Почему нужно найти нового ИБ-специалиста (специалиста по информационной безопасности - прим. ред.), а не дополнительного бухгалтера? Что выгоднее — сделать новый сайт или потратиться на исправление уязвимостей в текущем

Дилемма, постоянно возникающая перед бизнесом: заплатить, чтобы снизить риск потери денег, или инвестировать с целью получить больше прибыли, но с возможной опасностью. Учитывая, что бизнесом обычно занимаются смелые люди, а вложения в киберзащиту не дают гарантий, не удивительно, что к киберрискам относятся «на авось».

А между тем:

— 90% случаев компрометация всей инфраструктуры компании занимает меньше 24 часов.

— Каждый 7-ой сотрудник вступает в диалог со злоумышленниками, раскрывая чувствительную информацию.

— В 50% компаний можно попасть в сеть за один шаг.

Учесть все киберриски нельзя, но самые важные — можно попробовать

Просто внедрить средства защиты и антивирусы, соблюдать выполнение стандартов информационной безопасности — недостаточно для спокойствия. Злоумышленники находятся в постоянном поиске новых способов атаки, и то, что вчера считалось безопасным, завтра может оказаться угрозой. Поэтому оценить абсолютно все возможные риски невозможно даже теоретически.

Целесообразно сосредоточится только на тех рисках, из-за которых компания понесет максимальные потери.

Например, взлом корпоративного сайта — это просто неприятно, а взлом клиентского приложения или слив базы данных — уже дорогой урон для компании с точки зрения денег и репутации.

Определив угрозы, можно оценить, сколько ресурсов потребуется, чтобы нейтрализовать каждую из них. Если затраты на защиту от риска дороже, чем сам актив, который мы защищаем — это теряет смысл. Такой анализ каждого актива поможет рассчитать соотношение рисков к затратам на защиту.

Хакер-одиночка, студент, взламывающий систему для развлечения или сложившаяся группировка — это разные ресурсы, возможности и частота атаки. Необходимо смоделировать и оценить разные сценарии атак. И понять, что принесет наиболее вероятный ущерб.

Чтобы начать анализ, нужно задать себе два вопроса:

— Какова вероятность того, что наша компания будет интересна для злоумышленника?

— Какова вероятность того, что при атаке будут достигнуты критичные для бизнеса цели

Для этого нужно собрать бизнес-инициативы, определить степень их зависимости от технологий и спрогнозировать сценарии возможных атак, а также перспективу их влияния на компанию.

Например, цель бизнеса — автоматизация производства. Возможный киберриск — полная остановка производственного процесса и требование выкупа злоумышленниками. Последствия такого сценария — потеря доли рынка, а также финансовые и репутационные потери.

Такие конкретные сценарии совет директоров уже может оценить в финансовых показателях. Это позволяет построить график зависимости финансовых потерь от вероятности киберриска. Сравнение этих графиков поможет ответить довольно точно — в какие инструменты информационной безопасности и какую сумму следует инвестировать.

Что мешает компаниям добиться защищенности?

Цели и задачи, которые обсуждает совет директоров, «спускаются» ниже по иерархии к исполнителям, и ИБ-специалисты тут не исключение. Возникают сложности с контролем за действиями и расходами кибербезопасности.

Во многих компаниях у CISO (директоров по информационной безопасности) нет полномочий на своевременное и правильное принятие решений.

Сегодня бизнесу нужно еще более напряженно работать, чтобы выдерживать конкуренцию на фоне стремительных технологических изменений, которые повышают уязвимость компаний для кибератак.

Исследование ESG показало: когда члены совета директоров больше вовлечены в кибербезопасность, они задают сложные вопросы, глубже разбираются в проблемах и с большей вероятностью переходят от технических к бизнес-вопросам. Крупные компании понимают, что нужно расширять полномочия CISO и поднимать их уровень ответственности.

Сегодня наблюдается общемировой тренд включения представителей ИБ в состав совета директоров или делегирования ответственности за это направление кому-то из его действующих членов.

Бизнес и «безопасники» нередко говорят на разных языках, что приводит к сложностям «перевода».

Опыт Awillix показывает, что наиболее полные и объективные результаты удается получить, когда цели для тестирования на проникновение формулируют топ-менеджеры и главы компаний. Для примера сравним постановку целей на языке бизнеса и ИБ.

Руководители ставят задачи для тестирования (имитации атаки):

1. Получить доступ к управлению расчетными счетами.
2. Получить контроль над производством.
3. Вывести чувствительные данные.
4. Получить контроль над системами безопасности (СКУД, видеонаблюдение, пропуска).
5. Физически проникнуть в офис.
6. Оценить работу внутренней службы ИБ.

ИБ-специалисты формулируют задание для имитации атаки:

1. Выявить все уязвимости в системе.
2. Найти все уязвимости в исходном коде приложений.
3. Выполнить DDOS тестирование сервера.
4. Выполнить попытки обхода средств защиты.
5. Идентифицировать возможность фрода или мошенничества в конкретной системе.

Постановка задачи со стороны ИБ нередко оказывается сфокусированной на локальной задаче и требует дополнительной «расшифровки» для членов совета директоров, а значит и дополнительной аргументации.

Тест на проникновение сформулированный на языке бизнеса обычно получается более объемным и менее сложным в запуске для компании-заказчика.

Тестирования проводятся, чтобы убедится, что при реальной кибератаке существующие меры контроля и защиты действительно сработают. Подтвердить на практике, что злоумышленники не достигнут критичных для компании целей. Единственный способ выяснить это — ставить целью захват наиболее важных для компании реальных активов.

Взломать можно абсолютно любую систему. Это всего лишь вопрос времени и затраченных ресурсов. Если компании хотя бы приблизятся к ответам на вопросы:

1. Каков уровень злоумышленника, способного достигнуть критических целей. Сможет ли это сделать обычный «школьник» или получится только у профессиональной группировки?2. Насколько сделанные инвестиции в ИБ действительно эффективны с учетом реального ландшафта угроз?

— то у бизнеса будут все необходимые данные для понимания того, сколько необходимо инвестировать в кибербезопасность, зачем это делать и какие управленческие решения принимать.

Фото: Lothar Groene

Читайте также:


115280, Россия, Московская Область, Москва, Ленинская слобода 19
Почта: adm@dailymoscow.ru