Илья Забегаев - Директор по продукту «Кибериспытание». По данным российских вендоров, Россия последние два года остается самой атакуемой хакерами страной — это значит, что ежедневно под удар попадают сотни и тысячи компаний. В таких условиях у руководителей организации должен возникнуть непростой вопрос: что для меня является киберриском и действительно ли мой бизнес от них защищен? В этой статье мы постараемся разобраться, как сформулировать ключевые бизнес-риски или недопустимые для организации события и почему важно оценивать свою защищенность силами белых хакеров.
Число киберугроз для бизнеса постоянно растет — это в первую очередь шифрование данных, DDOS-атаки, кража личных данных клиентов, временная или постоянная остановка производства. То есть любые значимые риски или события, которые можно признать недопустимыми для бизнеса, способными оказать критически важное негативное влияние на его работу. При этом такие события для каждой сферы бизнеса и даже отдельной компании могут варьироваться по степени возможного ущерба. Например, утечка персональных данных клиентов для крупных сервисных организаций означает серьезный репутационный риск. Иногда такие события приводят даже к уходу компаний с рынка. Для производственной компании, например, взлом логистической IT-системы представляется большой проблемой. Может остановиться работа склада. Но иногда операционные процессы в таком бизнесе позволяют быстро справиться с такими форс-мажорами. Значит, определение критериев недопустимых событий превращается в сложную бизнес-задачу, к которой нужно относиться как к отдельному проекту. Вместе с ростом угроз увеличиваются и расходы на системы безопасности данных и IT-систем. По данным исследования компании DNA Team, в первом полугодии 2024 года 50% российских компаний увеличили свои расходы на кибербезопасность. Среди них лидировали финансовые компании, ритейл и логистика. Но эффективная комплексная система защиты данных не зависит исключительно от бюджетов, потому что часто бизнес не уверен в том, что защищает действительно самые «слабые места» в своей IT-инфраструктуре. Как проверять информационную безопасность бизнеса? Необходимость учитывать специфику бизнес-процессов диктует новые правила для общей оценки кибербезопасности компаний. По классике жанра, информационная безопасность находится в контуре интересов IT- и ИБ-отделов компаний. Однако технические специалисты зачастую могут не учитывать нюансы организации бизнес-процессов и не могут определить критичность того или иного риска. Кроме того, важно исключить возможность манипуляций со стороны IT-подразделений компании, которые обеспечивают безопасность. У них есть свои интересы. Обычно они состоят в том, чтобы сократить возможный спектр угроз и снизить объем проекта (сократить самим себе «фронт работ»). Поэтому наиболее рациональный способ составить техническое задание на проверку цифровой безопасности компании — делать это с участием ключевых управленцев, менеджеров C-уровня. Они видят общую картину функционирования предприятия и могут выступать медиаторами разных точек зрения на IT-безопасность. Первый шаг для менеджера C-уровня, который решил повысить защищённость компании от киберрисков, — осознать важность кибербезопасности, заняться целеполаганием, определить критерии и обозначить, что для компании является недопустимым событием в сфере ИБ. То есть найти те бизнес-процессы, которые пострадают от успешных кибератак и приведут к потерям. Однако чтобы полностью решить эту задачу, недостаточно экспертизы менеджера даже самого высокого уровня, потому что она находится на пересечении разных бизнес-направлений: от IT до управленческих систем. Поэтому она решается в формате общего «мозгового штурма», в котором участвуют управленцы топ-уровня и представители основных подразделений компании. PR-директор расскажет о том, насколько важны риски утечки личных данных клиентов, финансовый — о том, к каким потерям приведет остановка конвейера на один день из-за взлома, ритейл-подразделение — о том, к чему приведет взлом CRM, поддерживающей процесс продаж. Совместное обсуждение позволит определить участки IT-инфраструктуры, которые наиболее подвержены рискам и где данные не дублированы. Дополнительным плюсом станет возможность увидеть слабые места в организации бизнес-процессов на предприятии и разработать план корректировки. Затем СЕО должен расставить приоритеты: какие риски для бизнеса важны в первую очередь. Его задача — определить те из них, которые способны нанести бизнесу непоправимый ущерб. Как провести комплексную проверку кибербезопасности бизнеса? Следующий шаг — найти инструмент, который позволит CEO оценить качество киберзащиты. Такая проверка должна быть комплексной, объективной и релевантной бизнес-целям и рискам в конкретной компании. Многие организации используют пентесты, в ходе которых «хакеры» пытаются взломать их IT-системы. Но такие проверки позволяют увидеть только технические уязвимости и не дают широкой картины состояния IT-защиты в компании. С другой стороны, проверки по программе Bug Bounty не дают ответа на вопрос о том, могут ли взломщики нанести компании критический ущерб. То же самое относится и к оценке киберзащиты с помощью системы Red Teaming. Релевантность проверки бизнес-целям компании и ее полная объективность достигается только в ходе масштабных испытаний, которые чем-то напоминают масштабный «IT-квест», когда IT-инфраструктура компании подвергается разнообразным атакам: от DDoS-атак до методов социальной инженерии. Таким образом определяются не только сами уязвимости, но и способность IT-систем и специалистов на них реагировать, скорость этой реакции и ее эффективность. Начинаются испытания кибербезопасности бизнеса с того, что специальный экспертный совет (он есть только в этом формате проверки цифровой безопасности) определяет спектр потенциальных угроз и возможных действий хакеров, направленных на взлом IT-систем бизнеса. На его стороне — оформление и описание перечня ключевых рисков в форме недопустимых событий для бизнеса. Экспертный совет выступает в роли консультанта для бизнеса, который рекомендует, что именно должно входить в проверку. Перечень элементов для проверки формируется исходя из тех систем, которые гипотетически могут быть взломаны хакерами, и действий, которые они гипотетически способны совершить. Создается ряд таких гипотез и определяется список потенциальных уязвимостей в IT-системах компаний. Например, в него может входить социальная инженерия или нет. Компании имеют возможность включить в сценарий проверки те виды киберинцидентов, которые они считают высоко вероятными. Затем определяется размер вознаграждения, которое полагается исследователям за реализацию контролируемого взлома IT-системы компании. Комплексные проверки информационной безопасности бизнеса — не разовый проект. В компаниях, где ИБ один из приоритетов, они должны периодически повторяться. При этом их сценарии могут дополняться новыми недопустимыми событиями. Одна из главных задач в том, чтобы оценить, за какую сумму у злоумышленников при всем желании не получится нанести компании критический ущерб. 100-процентной безопасности добиться почти невозможно: по меньшей мере это будет стоить компании неадекватного бюджета. Но планомерное увеличение расходов на кибербезопасность — нормальная практика. Как подобрать универсальные ключи к кибербезопасности Способов проверить кибербезопасность бизнеса достаточно много, но большинство из них нерелевантны ее бизнес-процессам, оставаясь в сфере влияния IT-подразделений. Дело в отсутствии качественных критериев оценки, связанных с непосредственной работой бизнеса. Такими критериями могут являться недопустимые события. Формат кибериспытаний помогает компаниям определить степень риска наступления этих событий и даже потенциальную стоимость их предотвращения. И наконец, испытания позволяют оценить эффективность инвестиций в кибербезопасность. Например, если компания вкладывает в нее сотни миллионов рублей в год, а цена взлома, как показали кибериспытания, составляет всего один миллион, то ей есть над чем задуматься.
