Estehin 9/18/20 1:24 PM Page 30
УПРАВЛЕНИЕ
Топ-менеджмент и ИБ: дружба поневоле Валерий Естехин, эксперт по вопросам информационной безопасности, автор блога estekhin.blogspot.ru
М К уникальности компаний в изложенном выше контексте можно отнести тему, обозначенную в заголовке: взаимоотношения топ-менеджмента компаний и собственных служб информационной безопасности. Попробую описать некоторые моменты этих взаимоотношений в предлагаемых обстоятельствах: в обычное время – до взлома и в моменты испытаний этих отношений на прочность – во время и после взлома. До обнаружения взлома компании оставалось несколько месяцев... Для ИБ-службы в условиях цифровизации бизнеса становится все сложнее поддерживать способность компании бесперебойно функционировать вопреки нескончаемому потоку обнаруживаемых производителями ПО и оборудования уязвимостей, а также помехам со стороны нарушителей, пытающихся нанести вред бизнесу с использованием известных или новых брешей в системе безопасности. В наше турбулентное время поток хороших новостей от служб ИБ практически иссяк: ежедневные фишинговые атаки, взломы интернет-сервисов частных компаний и сайтов госорганов, хищения у клиентов банков и самих банков, социальная инженерия, вольности работников и прочее не дают повода службам ИБ для бодрых рапортов руководству. Серьезную проблему представляет стадия оценки и доказательства угрозы, а также принятия решения о срочных и неотложных действиях, которые надо предпринять компании, чтобы оценить масштабы и последствия обнаруженного инцидента и, по возможности, уменьшить угрозу.
30 •
ожно перефразировать на ИБ-шный лад известную фразу, с которой начинается роман Льва Толстого “Анна Каренина": все модели угроз похожи друг на друга, каждая отдельно взятая взломанная компания уникальна по-своему...
В этих условиях безопасность требует взаимодействия и сотрудничества множества людей и в первую очередь топменеджмента и служб ИБ, так как от этого зависит устойчивость компании к внешним и внутренним угрозам. Понятно, что без четко выстроенной иерархической структуры реагирования и управления рисками службам ИБ будет сложно влиять на ситуацию при негативном развитии событий.
вопрос: а вы точно уверены, что это необходимая мера и угроза столь велика? Обычная реакция бизнеса на подозрения служб ИБ: что там у вас? Аномалии в трафике? Несанкционированный доступ к учетным записям? Появление подозрительных скрытых файлов? У нас на всех компьютерах стоит антивирус? А за что мы вам деньги платим – разберитесь и доложите. Работаем дальше.
В случае вялотекущего инцидента никто, кроме ИТ и ИБ, не вникает в то, что происходит на самом деле. Все полностью включатся в работу только тогда, когда увидят последствия. А пока компания не получила доказательств угрозы, никто не хочет оказаться на месте ИБ и разделить, как принято считать, исключительно ИБи ИТ-риски.
На первый план выходит не сама угроза, а уровень опасности, который должна определить служба ИБ. И именно на эту службу ложится ответственность за определение момента, когда нужно "дернуть рубильник" и, возможно, убедить руководство о временной приостановке бизнес-активности.
Будем исходить из того, что люди, руководящие службами ИБ и финансирующие их труд, находятся в здравом уме и способны принять разумный риск, выбирая между предполагаемыми потерями от реализации риска и получаемой выгоды от его принятия, то есть оставив все без изменений.
В информировании топ-менеджмента каждый ИБ-руководитель выбирает свой уровень паранойи Служба ИБ дает рекомендации, основанные на своем понимании ситуации и оценке рисков. Если есть уверенность, что можно предотвратить возможный ущерб для компании, тогда жесткие ограничительные меры, вплоть до отключения доступа к Интернету и временной приостановки обслуживания клиентов, будут оправданны. Если этого не сделать, то последствия от взлома могут обойтись компании гораздо дороже. Но бизнесу необходимость жестких мер надо еще доказать. Это как с закрытием границ во время пандемии. Во всех странах самым актуальным был один
Любая ошибка взломщика – это информация к действию для ИБ-службы Иногда злоумышленники допускают оплошность, и у компании появляется шанс отразить атаку и не получить ущерба – утраты активов, утечки информации, приостановки деятельности и пр. Но, чтобы не допустить негативных последствий, службе ИБ нужна решительность, принципиальность и воля для преодоления существующей иерархии в компании и социальной дистанции между ИБ и топ-менеджментом. А на это не так просто решиться. Чтобы обнаружить уникальную атаку в конкретной инфраструктуре, нужно обладать практикой и инструментарием для обнаружения уникальных атак. А в большинстве компаний специалистам по информационной безопасности это вряд ли под силу. Представим, что первый тревожный звоночек уже прозвучал и сотрудники службы ИБ за несколько дней до эскалации взлома обратились за помощью к своему надежному партнеру – к компании, занимающейся расследованиями киберпреступлений. Далее с помощью
