Азбука киберустойчивости

Атаки на информационную инфраструктуру компаний (в первую очередь с использованием ransomware) и прочие киберинциденты все чаще можно найти на вершине хит-парада рисков для непрерывности бизнеса. Но главное, они прочно захватывают внимание советов директоров — менеджмент перестал задавать вопрос «могут ли нас атаковать» и перешел к обсуждению вопроса «что мы будем делать, если нас атакуют». В результате многие компании пытаются выработать киберустойчивость.

Всемирный экономический форум (WEF) определяет киберустойчивость как способность организации минимизировать влияние существенных киберинцидентов на ее основные бизнес-цели и задачи. Американский NIST уточняет: киберустойчивость — способность предвидеть, выдерживать, восстанавливаться и адаптироваться к неблагоприятным условиям, атакам или компрометациям ИТ-систем.

Все согласны, что киберустойчивость нужна современной компании, но практическая реализация стратегии киберустойчивости сталкивается с многочисленными трудностями. По результатам опроса 3100 руководителей ИТ и ИБ, проведенного компанией Cohesity, 98% компаний декларируют, что должны восстанавливаться после кибератаки в течение 24 часов, но реально восстановить работу в этот срок могут лишь 2%. А 80% бизнесов на восстановление потребуется от четырех дней до трех недель.

Семь основ киберустойчивости

В своем «компасе киберустойчивости» консультанты WEF выделяют следующие компоненты стратегии:

1. Leadership (лидерство): интеграция киберустойчивости в стратегические цели компании; отправка политических сигналов командам о важности киберустойчивости; принятие высокоуровневого решения о том, насколько компания терпима к основным киберрискам; наделение полномочиями тех, кто будет разрабатывать, а при плохом сценарии и воплощать сценарии быстрого реагирования.
2. Governance, risk & compliance (управление, риски и соответствие): определение профиля рисков; назначение явных владельцев конкретных рисков и определение ответственности в случае их наступления; планирование и внедрение мер снижения и смягчения рисков; соблюдение регуляторных требований.
3. People and culture (люди и культура): развитие киберкомпетенций; повышение осведомленности в сфере ИБ с учетом круга обязанностей каждого сотрудника; наем сотрудников с нужным набором ИБ-навыков; создание безопасной среды для всех сотрудников, в которой они смелее сообщают об инцидентах и ошибках.
4. Business processes (бизнес-процессы): распределение ИТ-сервисов по уровням их важности для непрерывного ведения бизнеса; подготовка к наихудшим сценариям и внедрение адаптивности. Сюда входит детальная проработка того, как будут работать критически важные процессы при масштабных ИТ-сбоях.
5. Technical systems (технические системы) — для каждой системы вырабатываются и регулярно пересматриваются меры по улучшению ее защиты. Такие, например, как использование максимально безопасных настроек (hardnening), подготовка запасных мощностей (redundancy), микросегментация сети, многофакторная аутентификация (MFA), создание защищенных от удаления резервных копий данных, внедрение управления журналами. Порядок внедрения защитных мер и выделяемые для этого ресурсы должны соответствовать важности системы.
   Чтобы своевременно и эффективно реагировать на угрозы, следует обязательно внедрять системы, сочетающие детальный мониторинг инфраструктуры с полуавтоматическим реагированием: XDR, комбинация SIEM и SOAR и подобные.
6. Crisis management (кризисное управление): формирование команд реагирования; совершенствование планов восстановления; определение, кто будет принимать решения в кризисной ситуации; подготовка запасных технических средств (например, каналов общения, если корпоративная почта и мессенджеры недоступны); разработка стратегий внешней коммуникации.
7. Ecosystem engagement (взаимодействие в экосистеме): сотрудничество с партнерами по цепочке поставок, регулирующими органами и конкурентами для повышения общей устойчивости.

Стадии внедрения киберустойчивости

Из того же опроса Cohesity следует, что компании, как правило, «ощущают» себя на середине пути к киберустойчивости, у большинства из них внедрены некоторые технические меры, требуемые для реализации КУ, а также проведены базовые организационные мероприятия.

Наиболее широко внедрены:

• инструменты резервного копирования;
• регулярные учения по восстановлению данных из резервных копий;
• многофакторная аутентификация (редко — в масштабе всей компании и всех сервисов);
• ролевая система управления доступом (RBAC, тоже, как правило, внедрена лишь частично);
• другие «гигиенические» меры ИБ;
• формальные планы реагирования;
• ежегодные или ежеквартальные учения в формате деловой игры (tabletop exercise) для тестирования процедур реагирования и ролей, которые выполняют сотрудники разных отделов во время кризиса.

К сожалению, «широко внедрены» не значит, что эти меры внедрены в большинстве компаний. Они хотя бы частично реализованы у 30–60% опрошенных бизнесов. Мало того, во многих компаниях нет синергии между ИТ и ИБ, поэтому эти отделы недостаточно сотрудничают в зонах общей ответственности.

По отзывам опрошенных, наиболее сложны во внедрении:

• Метрики и аналитика. Трудно измерять прогресс внедрения КУ и инноваций ИБ в целом. Корректно рассчитывать MTTD/MTTR или оценивать риски в деньгах умеют лишь немногие организации. Часто это компании, которые должны измерять риски по «основному» роду деятельности, например банки.
• Изменения в культуре компании. Добиться активного участия сотрудников в процессах ИБ на всех уровнях организации сложно. Хотя базовые тренинги cybersecurity awareness используются почти повсеместно (это часть гигиенических мер), лишь меньшинство организаций может адаптировать эти учения под специфику каждого отдела, а дефицит кадров мешает регулярно взаимодействовать со всеми подразделениями и совершенствовать обучение.
• Внедрение КУ в цепочку поставок. От устранения критической зависимости от единственного поставщика до реального контроля над процессами ИБ у подрядчиков — каждая задача неимоверно сложна и даже совместными усилиями ИБ и закупок решить ее для всех контрагентов компании бывает заградительно дорого.

Кроме этого, встает вопрос о пересмотре самой организации кибербезопасности и внедрения систем zero trust. О сложностях этого перехода мы писали ранее.

Практики подчеркивают, что киберустойчивость нельзя назвать «проектом» — это итеративный процесс, идущий многочисленными фазами, в конечном счете охватывающий всю организацию и вряд ли имеющий точку финального завершения.

Нужные ресурсы

Начинать внедрять киберустойчивость нужно с получения фундаментальной поддержки совета директоров — тогда активное сотрудничество CIO и CISO может привести к результативным изменениям и быстрому продвижению процесса внедрения.

В большинстве компаний до 20% дополнительного бюджета ИБ уходит на технологии и проекты, напрямую относящиеся к внедрению киберустойчивости: реагирование на инциденты, управление identity, программы обучения.

Ядром команды киберустойчивости должна быть кросс-функциональная группа из всего нескольких человек, имеющая достаточно полномочий и поддержки, чтобы получать ресурсы других сотрудников ИТ и ИБ на реализацию очередных этапов внедрения, а также привлекать внешних экспертов, например, к проведению обучения, деловых игр с участием руководства, оценкам защищенности. Критически важен набор навыков в этом ядре команды. Внедрение киберустойчивости является в большой мере организационным, а не только техническим процессом, поэтому кроме детальной инвентаризации активов, мер ИБ, потребуется серьезная работа по приоритизации рисков и процессов, определение ролей и зон ответственности в ключевых отделах компании, документирование, тестирование и совершенствование плейбуков для разных инцидентов, а также очень много обучения сотрудников.