Журнал "Information Security/ Информационная безопасность" #4, 2020

приглашенного партнера происходит выявление вредоносной активности в корпоративной сети компании и сбор сведений о противнике. Все силы будут брошены на выявление и блокирование IP-адресов узлов в Интернете, выпол- няющих роль командных серверов ата- кующих, на сетевом периметре органи- зации. А пока взлом с нанесением ущерба еще не случился, проанализируем, как часто и в каком формате происходит взаимодействие руководителей служб ИБ с топ-менеджментом компаний. У руководства, как правило, есть собственный "начальственный" этаж, изолированные места на парковке, при- ближенный, весьма обособленный пер- сонал, а иногда и отдельный лифт. Все это сокращает не только переживаемый совместно производственный опыт, но даже любые случайные контакты. Напри- мер, руководители бизнес-подразделе- ний, в отличие от руководителей служб ИБ, ежедневно общаются с топ-менедж- ментом на разных совещаниях. Какова вероятность, что у ИБ с топ-менеджмен- том будет что-то общее, объединяющее их усилия для решения вопросов по безопасному в плане ИБ-угроз управле- нию компанией? А ведь, если разобраться, у них не так мало общего. У топ-менеджмента: бес- сонные ночи, перманентная тревога за выживание бизнеса, ощущение страха и большая ответственность. И у ИБ: постоянные задержки на работе, тревога за безопасность применяемых бизнесом технологий, ожидание неизбежных атак на компанию и большая ответствен- ность. Что происходит, когда топ-менеджмент испытывает тревогу из-за незащищен- ности компании от внешних и внутренних угроз? Он обращается за информацией к тем, кому привык доверять и с кем привык советоваться, обычно это дирек- тор по общей безопасности и ИТ-дирек- тор. Но до службы ИБ эта понятная обеспокоенность руководства доходит, как правило, через третьи руки. Ситуация с отсутствием прямого пред- ставителя служб ИБ в руководстве ком- паний – одна из причин, мешающих топ-менеджменту делать конкретные шаги в нужном направлении с точки зрения существующих рисков ИБ в ком- пании. Итак, как правило, руководителя служ- бы ИБ нет в руководстве компании, а интересы ИБ представляет "посред- ник", обычно это руководитель общей безопасности, который по-своему фильт- рует доводимую до него информацию от службы ИБ. Этот "посредник" пони- мает, что некоторая информация от службы ИБ равноценна признанию каких-то недостатков в компании вообще и в курируемом им департаменте в част- ности. Поэтому откровенный разговор с руководством по вопросам безопасно- сти, которые он не совсем понимает, ему нежелателен. ИБ-служба в основном взаимодей- ствует с рядовыми сотрудниками, кото- рым иногда трудно понять, почему так важно соблюдать требования безопас- ности. То, что кажется работникам ком- пании чрезмерным, неудобным или про- сто проявлением паранойи, делается службой ИБ ради высоких целей – повы- шения устойчивости компании к внеш- ним и внутренним угрозам и минимиза- ции потерь от реализации существующих рисков. Служба ИБ видит все процессы компании изнутри и знает все недостат- ки. То, что менеджер по продажам счи- тает стартовой точкой для развития сер- виса, с точки зрения ИБ может означать финишную прямую к неизбежной утечке конфиденциальной информации. Для службы ИБ в приоритете не столько заработать, сколько не потерять. Что происходит во время обнаружения взлома У победы много отцов, и лишь поражение – сирота На экстренном совещании у руковод- ства компании руководитель службы ИБ докладывает, что произошло. Руковод- ством формулируется задача: быстро обнаружить скомпрометированные ресурсы компании, оперативно отреаги- ровать и восстановиться с минимальным ущербом. Служба ИТ получает указание отсо- единять критически важные компьютеры от сети и сканировать сеть специальным скриптом от привлеченной ранее к рас- следованию сторонней компании. При- нимается решение о переходе на исполь- зование белого списка сайтов при работе в сети Интернет. Во время обнаружения взлома все "стоят на ушах", сохраняя при этом неизменным желание требовать от руко- водителя ИБ-службы те или иные све- дения относительно начала и развития инцидента. К службе ИБ, как правило, непрерывно обращаются руководство, служба общей безопасности, ИТ-служба, юридический департамент, PR-служба. В эти моменты руководству компании важно определить единую точку контакта с прессой, чтобы не допустить утечки информации в СМИ, которая может помешать дальнейшему расследованию инцидента. При этом при общении с руководством службе ИБ важно ухо- дить от темы виноватого (оправдываться, почему защита ИТ-инфраструктуры ком- пании оказалась недостаточно надежна), и стараться формулировать свое виде- ние ситуации на понятном руководству языке, желательно коротко. Идентифицировать и локализовать угрозу Когда всё уже случилось, все с готов- ностью признаются в своем спаситель- ном неведении относительно того, что такое вообще могло произойти. Это поз- воляет подразделениям, которые кос- венно или непосредственно отвечают за риски в компании, дистанцироваться от службы ИБ, которая знала, но "не била во все барабаны". Как правило, службе ИБ с самого начала понятен сценарий взлома, и, возможно, она за несколько дней до инцидента уже описывала руководству примерный, жизненный сценарий раз- вития событий. Но что из того, что собы- тие было предсказано службой ИБ, если его последствия стали для всех шоком? Кричать "Пожар!" уже поздно. В момент взлома требуется прежде всего решительность ИБ-руководителя, так как на карту поставлена репутация службы ИБ в компании. Сразу возникает масса вопросов. Какую информацию выдавать PR-отделу? Что сообщать партнерам и клиентам компании, обес- покоенным фактом возможной утечки персональных данных в результате взло- ма? А что, если злоумышленники про- должают оставаться в корпоративной сети и ждут подходящего случая, чтобы повторить атаку? Что предпринять, чтобы вернуть информационную инфраструк- туру компании в состояние, предше- ствующее взлому? Следует ли отключить всем работникам компании доступ в Интернет? Кто из системных админи- страторов может помочь справиться с ситуацией, так как по мере погружения в ИТ-инфраструктуру службе ИБ откры- ваются такие тайны, о существовании которых она и не подозревала? • 31 АВТОМАТИЗАЦИЯ www.itsec.ru