16 июля 2014

Кто на самом деле виноват во взломах?

Бизнес

Подавляющее большинство ИТ-отделов сегодня сталкиваются с большой проблемой: остальные сотрудники компании считают их на 100% отвечающими за кибербезопасность. Возлагать на них обязанности по некоторым аспектам кибербезопасности вполне разумно, но они, конечно, не могут нести всю тяжесть ответственности. На самом деле ИТ-персонал оказывается в том же положении, что и полицейские. Притом что полицейские могут ловить преступников и предупреждать некоторые преступления, они, конечно, не могут отвечать за каждое успешно совершенное злодеяние. И не их вина, что так много людей оставляют двери (или мобильные устройства) незапертыми (незаблокированными) и становятся невольными мишенями. Тем не менее, организации очень часто кого-то увольняют из ИТ, чуть ли даже не CIO, когда случаются взломы.

Обеспечение безопасности необязательно является трудной для решения задачей. Если бы ИТ-отдел имел полный контроль над организацией, они могли бы легко гарантировать полное отсутствие любых проникновений: вырыть ров вокруг компании, заполнить его сотней аллигаторов и запретить всем и всему входы и выходы. Это просто, хотя и попахивает средневековьем.

Конечно, бизнес не может функционировать в подобных «условиях изоляции». Не может любое предприятие сегодня преуспеть без многочисленных точек входа и выхода для людей, информации и коммуникаций. И со всем этим движением ИТ-отдел многое контролировать уже не способен. Одно из решений заключается в том, чтобы придумать формулу, помогающую измерить степень ответственности ИТ-отдела за кибербезопасность.

Страховые компании создали хорошие модели для этого: при рассмотрении ДТП, например, они точно определяют процент вины каждого участника аварии, который несет ответственность за инцидент. Ключевыми факторами могут быть: погода (5%), изношенные шины (12%), неопытность водителя (17%) и свинья на перекрестке (66%). Если на самом деле применить формулу такого рода для любого взлома компании, то напрашивается вывод, что ИТ-отдел виновен менее чем на 20%.

800

 

Перечень других факторов для рассмотрения при оценке вины в нарушении кибербезопасности:

— Руководители игнорируют обучение персонала основам кибербезопасности
— Маркетинг запустил новые «порталы клиентов», значительно увеличив площадь атаки компании
— Данные, полученные c этих порталов, являются ценными для киберпреступников
— Руководящие сотрудники регулярно подвергаются спиэрфишингу
— Мобильные политики регулярно нарушаются
— Сотрудники загружают бесплатные приложения из подозрительных источников
— Сотрудники подключают персональные мобильные устройства непосредственно к корпоративной сети

ИТ-отдел редко способен пресекать любое из этих действий, хотя каждое из них ставит под угрозу безопасность компании.

Такое положение дел несправедливо по отношению к ИТ. Но куда важнее то, что, пока ИТ-отдел выступает «козлом отпущения», никакое другое подразделение компании не отвечает за комплексные последствия принятых решений.

Вот несколько советов по устранению проблемы:

1) Озвучить формулу ответственности и определить подразделения и отдельных лиц, до некоторой степени отвечающих за взлом. (Побочная польза: это может на самом деле подтолкнуть людей соблюдать политики)

2) Добавить опросник в конце каждого запроса к ИТ в виде:

Как ваш запрос скажется на уровне кибербезопасности компании?

— Повысит
— Понизит
— Не скажется

Сначала люди могут не понять вопроса и будут оставлять это поле пустым. Но когда они узнают, что поле является обязательным для заполнения, то выберут «не скажется». Тогда ИТ-отдел уже может вмешаться и объяснить, что риск для безопасности, как правило, увеличивается, когда расширяется сеть, или собираются и хранятся дополнительные ценные данные о клиентах.

Со временем сотрудников можно переучить, чтобы они осознавали реальный статус кибербезопасности компании. «Статус безопасности» не так уж строг, как кажется. Да, он определяется оборудованием, программным обеспечением, а также надеждами и чаяниями (они же «утвержденные политики») ИТ-отдела, но еще и формируется под влиянием постоянных выборов в плане безопасности каждым сотрудником на ежедневной основе.

Синтия Джеймс, Глобальный директор по развитию бизнеса, CISSP. Ее карьера в IT охватывает 25 лет, из которых восемь отданы борьбе с киберпреступностью. Джеймс часто пишет на тему кибербезопасности и является автором книги Stop Cybercrime from Ruining Your Life! Sixty Secrets to Keep You Safe.