Журнал "Information Security/ Информационная безопасность" #4, 2020

Экспертиза от сторонней компании, занимающейся расследованием слу- чившегося, выявляет, что причиной инцидента послужила комбинация нескольких факторов (человеческого, технологического, организационного), которые и привели к взлому с нанесе- нием ущерба. Что происходит после взлома Самое важное после взлома – это не событие как таковое, а причинен- ный компании ущерб. Делаем выводы после взлома: что произошло и кто виноват? После взлома компании надо понять, виновата ли служба ИБ в том, что не смогла убедить руководство компании в самой возможности взлома. Не опре- делить приближение взлома при отсут- ствии необходимых автоматизированных средств обнаружения и реагирования (типа EDR-решений) – простительно. А вот создание хрупкой ИТ-инфраструк- туры – преступно. И это отдельная тема "разбора полетов" ИТ- и ИБ-служб у руко- водства. Как бы ни строился диалог службы ИБ с руководством компании, головой за защиту компании от кибервзлома почти всегда отвечает руководитель службы ИБ. Когда компанию взламы- вают с нанесением ущерба, руководи- теля ИБ выставляют за дверь, назначив "крайним" за инцидент, с формулировкой "Не смог убедить руководство в наличии реальных внешних угроз и уязвимостей взломанной ИТ-инфраструктуры компа- нии". Вот об этом "Не смог убедить руко- водство" давайте порассуждаем. Зада- дим несколько наводящих вопросов. Точно ли, что только ИБ-руководитель должен убеждать руководство? Но ведь бумаги руководству с указанием на недостатки инфраструктуры он писал? Писал. Перед топ-менеджментом с докладами о рисках ИБ раз в полгода выступал? Выступал. Ссылаясь на штрафные санкции регуляторов сферы ИБ и аудиторов, жуть нагонял? Нагонял. Внешний аудит ИБ компании проводил? Проводил. Координацией вопросов ИБ в рамках компании занимался? Зани- мался. С ИТ по поводу устаревшей ИТ- инфраструктуры ругался? Ругался. И что? Функция ИБ – с ее ответствен- ностью, стрессами, нагрузками, пораже- ниями, неявными победами – в компании выполнялась, а ответственность за взлом руководство "вешает" только на службу ИБ? А нельзя ли, в случае принятия биз- несом рисков ИБ, процесс переноса неопределенности переложить на само руководство или на комплаенс, или на управление рисками, или на мониторинг и реагирование (SOC), или на черта лысого? То есть делегировать функцию ИБ по разным направлениям, оставив за службой ИБ координацию усилий в вопро- сах ИБ. Сразу один очевидный ответ: перело- жить на руководство пока точно не полу- чается, хотя регуляторы сферы ИБ рабо- тают в этом направлении (выпущеныФеде- ральный закон 187-ФЗ, Положение Банка России 716-П и другие нормативные доку- менты). Руководители бизнеса сильно мотивированы на то, чтобы защищать свою самооценку и чувство собственной компетенции. Это означает, что руководи- тели почти всегда дистанцируются от чув- ства личной вины за любой инцидент в ИТ и в ИБ и быстро находят, кого обвинить в случае взлома компании. Руководители служб ИБ вынуждено берут (по указанию топ-менеджмента, который их же за это в конечном счете и уволит) на себя большие риски, рабо- тая в условиях неопределенности, и от этого в итоге страдают. Это почти всегда и везде так. Но хорошая новость (хотя для кого как) в том, что топ-менеджмент страдает от этого еще больше. Руководители, которые по определе- нию обладают большей властью, в том числе обладают способностью прини- мать определяющие, судьбоносные для бизнеса решения, по той же логике несут больше ответственности вслед- ствие этой власти. Ошибки в управлении компанией им обходятся дороже. Бизнес погружается в информационную безопасность под грузом проблем с ИБ Бизнес – это всегда противостояние, конкуренция, борьба, сроки. Бизнес зада- ет "правила игры", и все в компании должны играть по ним. У ИБ нет свободы выбора, но есть нюансы. Очевидно, что бизнес, как правило, не понимает уязвимостей современ- ных, сложных ИТ-систем и их зависи- мости от скрытых рисков. Но есть одни (богатые, как правило, государст- венные) компании, в которых ИБ не слушают, не понимают, но готовы верить на слово и выделять запраши- ваемый бюджет. Есть другие (не очень богатые, как правило, частные) компании, в кото- рых владельцы бизнеса не понимают, почему они должны переплачивать за безопасность (платить "налог на безопасность") и отказываются это понимать, урезая бюджеты на ИБ. Таким владельцам бизнеса, которые верят только фактам, трудно объ- яснить, что риск в будущем, а не в безоблачном прошлом их невзло- манных компаний. А есть третьи компании, в которых в вопросы ИТ и ИБ вникают, подклю- чают все возможные ресурсы (от рис- ковиков до кадровиков), и пытаются выстроить процессы, от которых зави- сит защищенность компании от внеш- них и внутренних ИБ-угроз. В этих ком- паниях "лицо, принимающее решение", не зависит в принимаемых решениях (или непринимаемых) от чьей-либо индивидуальной интерпретации вопро- сов киберзащищенности компании, потому что вопросам ИБ при корректи- ровке бизнес-стратегии компании руко- водством постоянно уделяется должное внимание. По понятным причинам ни первым, ни вторым и ни третьим не хочется перерасхода ресурсов. Но кибербезо- пасность, к сожалению, именно это и подразумевает: больше средств защи- ты, больше надежности, больше ЦОД и резервирования, больше защищен- ных каналов передачи данных, больше криптографии, больше "мозгов" в ИТ и ИБ. И все это для большей безопас- ности. И это то, что принято называть "налогом на безопасность". Но бизнес, по крайней мере российский частный бизнес, так устроен, что старается все оптимизировать, не оставляя избы- точности. И в этом еще одна сложность во взаи- моотношениях между топ-менеджментом и ИБ. Вместо послесловия Мир все менее предсказуем, при этом мы всё больше полагаемся на техноло- гии, в которых полно ошибок и уязвимо- стей, отчего поведение этих технологий трудно оценить, не говоря уже о том, 32 • УПРАВЛЕНИЕ