Журнал "Information Security/ Информационная безопасность" #4, 2020

К уникальности компаний в изложен- ном выше контексте можно отнести тему, обозначенную в заголовке: взаи- моотношения топ-менеджмента компа- ний и собственных служб информацион- ной безопасности. Попробую описать некоторые моменты этих взаимоотно- шений в предлагаемых обстоятельствах: в обычное время – до взлома и в момен- ты испытаний этих отношений на проч- ность – во время и после взлома. До обнаружения взлома компании оставалось несколько месяцев... Для ИБ-службы в условиях цифрови- зации бизнеса становится все сложнее поддерживать способность компании бесперебойно функционировать вопреки нескончаемому потоку обнаруживаемых производителями ПО и оборудования уязвимостей, а также помехам со сто- роны нарушителей, пытающихся нанести вред бизнесу с использованием извест- ных или новых брешей в системе без- опасности. В наше турбулентное время поток хороших новостей от служб ИБ практи- чески иссяк: ежедневные фишинговые атаки, взломы интернет-сервисов част- ных компаний и сайтов госорганов, хищения у клиентов банков и самих банков, социальная инженерия, вольно- сти работников и прочее не дают повода службам ИБ для бодрых рапортов руко- водству. Серьезную проблему представляет стадия оценки и доказательства угрозы, а также принятия решения о срочных и неотложных действиях, которые надо предпринять компании, чтобы оценить масштабы и последствия обнаруженного инцидента и, по возможности, уменьшить угрозу. В этих условиях безопасность требует взаимодействия и сотрудничества мно- жества людей и в первую очередь топ- менеджмента и служб ИБ, так как от этого зависит устойчивость компании к внешним и внутренним угрозам. Понятно, что без четко выстроенной иерархической структуры реагирования и управления рисками службам ИБ будет сложно влиять на ситуацию при нега- тивном развитии событий. В случае вялотекущего инцидента никто, кроме ИТ и ИБ, не вникает в то, что происходит на самом деле. Все полностью включатся в работу только тогда, когда увидят последствия. А пока компания не получила доказательств угрозы, никто не хочет оказаться на месте ИБ и разделить, как принято считать, исключительно ИБ- и ИТ-риски. Будем исходить из того, что люди, руководящие службами ИБ и финанси- рующие их труд, находятся в здравом уме и способны принять разумный риск, выбирая между предполагаемыми поте- рями от реализации риска и получаемой выгоды от его принятия, то есть оставив все без изменений. В информировании топ-менеджмента каждый ИБ-руководитель выбирает свой уровень паранойи Служба ИБ дает рекомендации, осно- ванные на своем понимании ситуации и оценке рисков. Если есть уверенность, что можно предотвратить возможный ущерб для компании, тогда жесткие ограничительные меры, вплоть до отключения доступа к Интернету и вре- менной приостановки обслуживания кли- ентов, будут оправданны. Если этого не сделать, то последствия от взлома могут обойтись компании гораздо дороже. Но бизнесу необходимость жестких мер надо еще доказать. Это как с закрытием границ во время пандемии. Во всех странах самым актуальным был один вопрос: а вы точно уверены, что это необходимая мера и угроза столь велика? Обычная реакция бизнеса на подо- зрения служб ИБ: что там у вас? Анома- лии в трафике? Несанкционированный доступ к учетным записям? Появление подозрительных скрытых файлов? У нас на всех компьютерах стоит антивирус? А за что мы вам деньги платим – разбе- ритесь и доложите. Работаем дальше. На первый план выходит не сама угроза, а уровень опасности, который должна определить служба ИБ. И именно на эту службу ложится ответственность за определение момента, когда нужно "дернуть рубильник" и, возможно, убедить руководство о временной приостановке бизнес-активности. Любая ошибка взломщика – это информация к действию для ИБ-службы Иногда злоумышленники допускают оплошность, и у компании появляется шанс отразить атаку и не получить ущерба – утраты активов, утечки инфор- мации, приостановки деятельности и пр. Но, чтобы не допустить негативных последствий, службе ИБ нужна реши- тельность, принципиальность и воля для преодоления существующей иерархии в компании и социальной дистанции между ИБ и топ-менеджментом. А на это не так просто решиться. Чтобы обнаружить уникальную атаку в конкретной инфраструктуре, нужно обладать практикой и инструментарием для обнаружения уникальных атак. А в большинстве компаний специали- стам по информационной безопасности это вряд ли под силу. Представим, что первый тревожный звоночек уже прозвучал и сотрудники службы ИБ за несколько дней до эска- лации взлома обратились за помощью к своему надежному партнеру – к ком- пании, занимающейся расследованиями киберпреступлений. Далее с помощью 30 • УПРАВЛЕНИЕ Топ-менеджмент и ИБ: дружба поневоле ожно перефразировать на ИБ-шный лад известную фразу, с которой начинается роман Льва Толстого “Анна Каренина": все модели угроз похожи друг на друга, каждая отдельно взятая взломанная компания уникальна по-своему... М Валерий Естехин, эксперт по вопросам информационной безопасности, автор блога estekhin.blogspot.ru