5 главных ИБ-уроков для гендиректора

Эффективность всех мер информационной безопасности сильно повышается, если их поддерживает высшее руководство. Как заручиться этой поддержкой?

Как научить директора информационной безопасности

Работа в сфере ИБ полна стрессов — ежедневное ожидание инцидентов, хронические переработки и бесконечные потоки оповещений дополняются постоянной борьбой с другими подразделениями, которые воспринимают безопасников как досадную помеху в работе. В лучшем случае про ИБ стараются не вспоминать, но в особо тяжелых случаях активно избегают всего, связанного с кибербезопасностью. Закономерный итог: 62% опрошенных «Лабораторией Касперского» топ-менеджеров признают, что недопонимание между бизнесом и ИБ-подразделениями привело к серьезным киберинцидентам. Чтобы изменить отношение к проблемам ИБ в организации, крайне важно заручиться поддержкой на высшем уровне, в совете директоров. Чему же нужно научить своего генерального директора или президента, учитывая, что он вечно занят и, возможно, не настроен думать про ИБ? Вот пять простых тезисов, которые надо повторять от встречи к встрече и детализировать небольшими порциями, пока высшее руководство ими не проникнется.

Проводите обучение по информационной безопасности, начиная с директоров

Любое обучение требует доверия к преподавателю, а доверие директора еще нужно заслужить. Установить мостик личных отношений и набрать авторитет будет проще, если начать не со стратегии, а с личной кибербезопасности руководства. Она напрямую влияет на безопасность всей организации, потому что личные данные и пароли директора часто становятся целью злоумышленников.

Возьмите для примера скандал, случившийся на исходе 2022 года в США, — злоумышленники проникли в «VIP-соцсеть» Infragard, через которую ФБР конфиденциально информировала директоров крупных предприятий о самых серьезных киберугрозах. Хакеры украли базу из 80 тысяч контактных адресов электронной почты и телефонов директоров и выставили ее на продажу за 50 тысяч долларов. Покупатели, предположительно, смогут втереться в доверие к руководителям из этого списка или использовать данные в BEC-атаках. Изредка директор даже становится жертвой достаточно опасной атаки с ложным вызовом полиции (swatting).

Исходя из вышесказанного, руководству очень критично использовать двухфакторную аутентификацию с использованием USB- или NFC-токенов на всех устройствах, применять уникальные и длинные пароли для всех рабочих аккаунтов, защищать все личные и рабочие устройства соответствующим софтом, а также максимально разделять рабочее и личное. В общем, обычные советы осторожному пользователю, но подкрепленные осознанием цены ошибки. По этой же причине важно перепроверять все подозрительные письма и вложения. Некоторым руководителям стоит предложить личную помощь кого-то из отдела ИБ для разбирательства с особо подозрительными ссылками или файлами.

Когда базовые уроки безопасности усвоены руководством, самое время подвести его к стратегическому решению — регулярно проводить обучение ИБ среди всех сотрудников компании. Каждому уровню сотрудников нужны свои знания. Всем, включая рядовых сотрудников, надо усвоить уже упомянутые «правила цифровой гигиены», а также получить советы по реагированию на подозрительные или нештатные ситуации. Руководителям, особенно связанным с IT, хорошо бы расширить свое представление о том, как вопросы безопасности интегрируются в жизненный цикл разработки и использования продукта, какие политики безопасности должны быть применены в работе их отделов и как все это может влиять на операционные показатели бизнеса. Ну а самим сотрудникам, ответственным за ИБ, стоит «зеркально» поучиться принятым в компании бизнес-процессам, чтобы лучше понимать, как безболезненно интегрировать в них необходимые предосторожности.

Интегрируйте кибербезопасность в стратегию и процессы компании

По мере цифровизации экономики, усложнения киберкриминального ландшафта и углубления регулирования управление киберрисками становится полноценной задачей уровня совета директоров. Она имеет технологический, человеческий, финансовый, юридический и организационный аспекты, поэтому лидеры всех этих направлений должны принять участие в адаптации стратегии и процессов компании.

Как мы минимизируем риск, что нашего поставщика или подрядчика взломают, а через него — нас? Какие законы в нашей отрасли регламентируют хранение и передачу важных данных, например персональных данных клиентов? Какое влияние на операционную деятельность окажет атака вымогателей с блокировкой и стиранием всех компьютеров и сколько времени потребуется на восстановление их из копий? Можно ли оценить в деньгах репутационный ущерб, когда об атаке на нас станет известно партнерам и публике? Какие дополнительные меры безопасности мы примем для защиты сотрудников, работающих дистанционно? Вот вопросы, которые службы ИБ и профильные специалисты из других подразделений должны ставить и решать, принимая организационные и технические меры.

Высшему руководству важно напоминать, что «купить вот эту систему» не является полным решением ни одной из перечисленных проблем, потому что по разным оценкам от 46 до 77% всех инцидентов связаны с человеческим фактором — от несоблюдения регламентов и злонамеренных инсайдеров до недостаточной прозрачности IT у подрядчиков.

Несмотря на это, день за днем при решении вопросов ИБ будут возникать дискуссии о бюджете.

Инвестируйте соразмерно

Денег на ИБ всегда не хватает, а количество проблем, которые нужно решать в этой сфере, кажется бесконечным. Важно выставлять приоритеты соразмерно требованиям конкретной индустрии и угрозам, которые наиболее вероятны в случае вашей конкретной организации и имеют потенциал нанести максимальный ущерб. Это возможно практически во всех областях — от устранения уязвимостей до обучения персонала. Ни одну область нельзя игнорировать, но приоритеты и очередность появятся в каждой. Работаем в рамках отведенного бюджета, закрываем ключевые риски, дальше двигаемся к менее вероятным. Самостоятельно ранжировать вероятность рисков практически невозможно, поэтому потребуется приобрести отчеты о ландшафте угроз в вашей индустрии и изучить типовые векторы атак.

Самое интересное происходит, конечно, когда бюджет надо увеличить. Подход к бюджетированию, основанный на рисках, стоимости их реализации и стоимости их минимизации, является наиболее зрелым, но и наиболее трудоемким. Важную вспомогательную роль в обсуждениях на совете директоров играют живые примеры — в идеале из опыта конкурирующих фирм. Впрочем, их нелегко достать, поэтому чаще прибегают к различным бенчмаркам, дающим усредненные бюджеты для конкретной сферы бизнеса и страны.

Важны все виды рисков

При обсуждении вопросов ИБ все участники излишне концентрируются на хакерах и различных программных решениях по защите от них. Но в повседневной деятельности многих организаций есть и совершенно другие риски, которые тоже проходят по линии ИБ.

Одним из самых распространенных в последние годы, несомненно, стал риск нарушения многочисленных законов о хранении и использовании персональных данных — 152-ФЗ, GPDR, CCPA и многие им подобные. Имеющаяся практика правоприменения показывает, что игнорировать их невозможно, — рано или поздно регулятором будет наложен штраф, и во многих случаях, особенно в Европе, речь идет о существенных цифрах. На горизонте еще более печальная перспектива в виде оборотных штрафов за утечку или ненадлежащее обращение с ПД, поэтому комплексный аудит информационных систем и процессов, направленный на поэтапное устранение нарушений, будет очень своевременным.

В ряде индустрий есть свои, еще более жесткие критерии, часто это касается финансовой, телеком- и медицинской отраслей, а также операторов критической инфраструктуры. Директора соответствующих направлений бизнеса должны иметь регулярно контролируемую задачу по улучшению соответствия требованиям регуляторов в своих департаментах.

Правильно реагируйте на инциденты

Несмотря на все усилия, ИБ-инциденты практически неизбежны. Если масштаб атаки таков, что ее всерьез обсуждают на совете директоров, это наверняка означает нарушение бизнес-процессов или утечку важных данных. Не только ИБ-структуры, но и бизнес-подразделения должны быть готовы к действиям заранее, в идеале — пройти учения. Как минимум, высшее руководство должно знать принципы реагирования и быть готово им следовать, чтобы не снижать шансы на благоприятный исход. Для директора важны будут три принципиальных шага.

  1. Срочно оповестите ключевые стороны об инциденте. В зависимости от контекста: финансовые и юридические департаменты, страховщиков, регуляторов индустрии, регуляторов по защите данных, правоохранительные органы, пострадавших клиентов. Во многих случаях сроки такого оповещения установлены законом, но если внешнего регулирования нет, установите его во внутренних регламентах. Здравый смысл подсказывает, что оповещать надо оперативно, но информативно, то есть перед оповещением нужно иметь достаточно информации о природе инцидента, начальной оценке его масштаба и первых принятых ответных мерах.
  2. Расследуйте инцидент. Важно принять разноплановые меры для того, чтобы верно оценить масштаб и последствия атаки. Кроме чисто технических мер важны, например, опросы персонала. При расследовании необходимо не повредить цифровые свидетельства атаки и другие артефакты инцидента. Во многих случаях для расследования и устранения последствий эффективней нанять сторонних экспертов.
  3. Запланируйте коммуникации. Одна из типичных ошибок компаний состоит в том, что они стараются скрыть инцидент или преуменьшить его масштаб. Рано или поздно истинный масштаб проблемы выплывает наружу, пролонгируя и увеличивая все виды ущерба — от репутационного до финансового. Поэтому внешние и внутренние коммуникации должны происходить системно, с заданной регулярностью, информация обязана быть непротиворечивой и практически полезной для клиентов и сотрудников. Они должны четко понимать, что делать сейчас и что ожидать в будущем. Разумно централизовать коммуникации, то есть назначить немногих внутренних и внешних спикеров, запретив выполнять эту роль всем остальным.

Коммуникация с высшим руководством по вопросам информационной безопасности — достаточно трудоемкая и не всегда благодарная задача, поэтому эти пять тезисов вряд ли удастся донести и убедить принять за одну или две встречи. Взаимодействие бизнеса и ИБ — это постоянный процесс, в котором обе стороны должны прилагать усилие, чтобы понимать друг друга лучше. Только системная пошаговая работа, проводимая на регулярной основе и затрагивающая практически всех директоров, позволит компании вырваться в лидеры и лучше конкурентов адаптироваться к современному киберландшафту.

Советы