Топ-менеджмент и ИБ: дружба поневоле
Валерий Естехин, 19/10/20
Можно перефразировать на ИБ-шный лад известную фразу, с которой начинается роман Льва Толстого “Анна Каренина": все модели угроз похожи друг на друга, каждая отдельно взятая взломанная компания уникальна по-своему...
Автор: Валерий Естехин, эксперт по вопросам информационной безопасности, автор блога estekhin.blogspot.ru
К уникальности компаний в изложенном выше контексте можно отнести тему, обозначенную в заголовке: взаимоотношения топ-менеджмента компаний и собственных служб информационной безопасности. Попробую описать некоторые моменты этих взаимоотношений в предлагаемых обстоятельствах: в обычное время – до взлома и в моменты испытаний этих отношений на прочность – во время и после взлома.
До обнаружения взлома компании оставалось несколько месяцев...
Для ИБ-службы в условиях цифровизации бизнеса становится все сложнее поддерживать способность компании бесперебойно функционировать вопреки нескончаемому потоку обнаруживаемых производителями ПО и оборудования уязвимостей, а также помехам со стороны нарушителей, пытающихся нанести вред бизнесу с использованием известных или новых брешей в системе безопасности.
В наше турбулентное время поток хороших новостей от служб ИБ практически иссяк: ежедневные фишинговые атаки, взломы интернет-сервисов частных компаний и сайтов госорганов, хищения у клиентов банков и самих банков, социальная инженерия, вольности работников и прочее не дают повода службам ИБ для бодрых рапортов руководству.
Серьезную проблему представляет стадия оценки и доказательства угрозы, а также принятия решения о срочных и неотложных действиях, которые надо предпринять компании, чтобы оценить масштабы и последствия обнаруженного инцидента и, по возможности, уменьшить угрозу.
В этих условиях безопасность требует взаимодействия и сотрудничества множества людей и в первую очередь топ-менеджмента и служб ИБ, так как от этого зависит устойчивость компании к внешним и внутренним угрозам.
Понятно, что без четко выстроенной иерархической структуры реагирования и управления рисками службам ИБ будет сложно влиять на ситуацию при негативном развитии событий.
В случае вялотекущего инцидента никто, кроме ИТ и ИБ, не вникает в то, что происходит на самом деле. Все полностью включатся в работу только тогда, когда увидят последствия. А пока компания не получила доказательств угрозы, никто не хочет оказаться на месте ИБ и разделить, как принято считать, исключительно ИБ и ИТ-риски.
Будем исходить из того, что люди, руководящие службами ИБ и финансирующие их труд, находятся в здравом уме и способны принять разумный риск, выбирая между предполагаемыми потерями от реализации риска и получаемой выгоды от его принятия, то есть оставив все без изменений.
В информировании топ-менеджмента каждый ИБ-руководитель выбирает свой уровень паранойи
Служба ИБ дает рекомендации, основанные на своем понимании ситуации и оценке рисков. Если есть уверенность, что можно предотвратить возможный ущерб для компании, тогда жесткие ограничительные меры, вплоть до отключения доступа к Интернету и временной приостановки обслуживания клиентов, будут оправданны. Если этого не сделать, то последствия от взлома могут обойтись компании гораздо дороже.
Но бизнесу необходимость жестких мер надо еще доказать. Это как с закрытием границ во время пандемии. Во всех странах самым актуальным был один вопрос: а вы точно уверены, что это необходимая мера и угроза столь велика? Обычная реакция бизнеса на подозрения служб ИБ: что там у вас? Аномалии в трафике? Несанкционированный доступ к учетным записям? Появление подозрительных скрытых файлов? У нас на всех компьютерах стоит антивирус? А за что мы вам деньги платим – разберитесь и доложите. Работаем дальше.
На первый план выходит не сама угроза, а уровень опасности, который должна определить служба ИБ. И именно на эту службу ложится ответственность за определение момента, когда нужно "дернуть рубильник" и, возможно, убедить руководство о временной приостановке бизнес-активности.
Любая ошибка взломщика – это информация к действию для ИБ-службы
Иногда злоумышленники допускают оплошность, и у компании появляется шанс отразить атаку и не получить ущерба – утраты активов, утечки информации, приостановки деятельности и пр.
Но, чтобы не допустить негативных последствий, службе ИБ нужна решительность, принципиальность и воля для преодоления существующей иерархии в компании и социальной дистанции между ИБ и топ-менеджментом. А на это не так просто решиться.
Чтобы обнаружить уникальную атаку в конкретной инфраструктуре, нужно обладать практикой и инструментарием для обнаружения уникальных атак.
А в большинстве компаний специалистам по информационной безопасности это вряд ли под силу.
Представим, что первый тревожный звоночек уже прозвучал и сотрудники службы ИБ за несколько дней до эскалации взлома обратились за помощью к своему надежному партнеру – к компании, занимающейся расследованиями киберпреступлений. Далее с помощью приглашенного партнера происходит выявление вредоносной активности в корпоративной сети компании и сбор сведений о противнике. Все силы будут брошены на выявление и блокирование IP-адресов узлов в Интернете, выполняющих роль командных серверов атакующих, на сетевом периметре организации.
А пока взлом с нанесением ущерба еще не случился, проанализируем, как часто и в каком формате происходит взаимодействие руководителей служб ИБ с топ-менеджментом компаний.
У руководства, как правило, есть собственный "начальственный" этаж, изолированные места на парковке, приближенный, весьма обособленный персонал, а иногда и отдельный лифт. Все это сокращает не только переживаемый совместно производственный опыт, но даже любые случайные контакты. Например, руководители бизнес-подразделений, в отличие от руководителей служб ИБ, ежедневно общаются с топ-менеджментом на разных совещаниях. Какова вероятность, что у ИБ с топ-менеджментом будет что-то общее, объединяющее их усилия для решения вопросов по безопасному в плане ИБ-угроз управлению компанией? А ведь, если разобраться, у них не так мало общего. У топ-менеджмента: бессонные ночи, перманентная тревога за выживание бизнеса, ощущение страха и большая ответственность. И у ИБ: постоянные задержки на работе, тревога за безопасность применяемых бизнесом технологий, ожидание неизбежных атак на компанию и большая ответственность.
Что происходит, когда топ-менеджмент испытывает тревогу из-за незащищенности компании от внешних и внутренних угроз? Он обращается за информацией к тем, кому привык доверять и с кем привык советоваться, обычно это директор по общей безопасности и ИТ-директор. Но до службы ИБ эта понятная обеспокоенность руководства доходит, как правило, через третьи руки.
Ситуация с отсутствием прямого представителя служб ИБ в руководстве компаний – одна из причин, мешающих топ-менеджменту делать конкретные шаги в нужном направлении с точки зрения существующих рисков ИБ в компании.
Итак, как правило, руководителя службы ИБ нет в руководстве компании, а интересы ИБ представляет "посредник", обычно это руководитель общей безопасности, который по-своему фильтрует доводимую до него информацию от службы ИБ. Этот "посредник" понимает, что некоторая информация от службы ИБ равноценна признанию каких-то недостатков в компании вообще и в курируемом им департаменте в частности. Поэтому откровенный разговор с руководством по вопросам безопасности, которые он не совсем понимает, ему нежелателен.
ИБ-служба в основном взаимодействует с рядовыми сотрудниками, которым иногда трудно понять, почему так важно соблюдать требования безопасности. То, что кажется работникам компании чрезмерным, неудобным или просто проявлением паранойи, делается службой ИБ ради высоких целей – повышения устойчивости компании к внешним и внутренним угрозам и минимизации потерь от реализации существующих рисков. Служба ИБ видит все процессы компании изнутри и знает все недостатки. То, что менеджер по продажам считает стартовой точкой для развития сервиса, с точки зрения ИБ может означать финишную прямую к неизбежной утечке конфиденциальной информации. Для службы ИБ в приоритете не столько заработать, сколько не потерять.
Что происходит во время обнаружения взлома
У победы много отцов, и лишь поражение – сирота
На экстренном совещании у руководства компании руководитель службы ИБ докладывает, что произошло. Руководством формулируется задача: быстро обнаружить скомпрометированные ресурсы компании, оперативно отреагировать и восстановиться с минимальным ущербом.
Служба ИТ получает указание отсоединять критически важные компьютеры от сети и сканировать сеть специальным скриптом от привлеченной ранее к расследованию сторонней компании. Принимается решение о переходе на использование белого списка сайтов при работе в сети Интернет.
Во время обнаружения взлома все "стоят на ушах", сохраняя при этом неизменным желание требовать от руководителя ИБ-службы те или иные сведения относительно начала и развития инцидента. К службе ИБ, как правило, непрерывно обращаются руководство, служба общей безопасности, ИТ-служба, юридический департамент, PR-служба.
В эти моменты руководству компании важно определить единую точку контакта с прессой, чтобы не допустить утечки информации в СМИ, которая может помешать дальнейшему расследованию инцидента. При этом при общении с руководством службе ИБ важно уходить от темы виноватого (оправдываться, почему защита ИТ-инфраструктуры компании оказалась недостаточно надежна), и стараться формулировать свое видение ситуации на понятном руководству языке, желательно коротко.
Идентифицировать и локализовать угрозу
Когда всё уже случилось, все с готовностью признаются в своем спасительном неведении относительно того, что такое вообще могло произойти. Это позволяет подразделениям, которые косвенно или непосредственно отвечают за риски в компании, дистанцироваться от службы ИБ, которая знала, но "не била во все барабаны".
Как правило, службе ИБ с самого начала понятен сценарий взлома, и, возможно, она за несколько дней до инцидента уже описывала руководству примерный, жизненный сценарий развития событий. Но что из того, что событие было предсказано службой ИБ, если его последствия стали для всех шоком? Кричать "Пожар!" уже поздно.
В момент взлома требуется прежде всего решительность ИБ-руководителя, так как на карту поставлена репутация службы ИБ в компании. Сразу возникает масса вопросов. Какую информацию выдавать PR-отделу? Что сообщать партнерам и клиентам компании, обеспокоенным фактом возможной утечки персональных данных в результате взлома? А что, если злоумышленники продолжают оставаться в корпоративной сети и ждут подходящего случая, чтобы повторить атаку? Что предпринять, чтобы вернуть информационную инфраструктуру компании в состояние, предшествующее взлому? Следует ли отключить всем работникам компании доступ в Интернет? Кто из системных администраторов может помочь справиться с ситуацией, так как по мере погружения в ИТ-инфраструктуру службе ИБ открываются такие тайны, о существовании которых она и не подозревала? Экспертиза от сторонней компании, занимающейся расследованием случившегося, выявляет, что причиной инцидента послужила комбинация нескольких факторов (человеческого, технологического, организационного), которые и привели к взлому с нанесением ущерба.
Что происходит после взлома
Самое важное после взлома – это не событие как таковое, а причиненный компании ущерб.
Делаем выводы после взлома: что произошло и кто виноват? После взлома компании надо понять, виновата ли служба ИБ в том, что не смогла убедить руководство компании в самой возможности взлома. Не определить приближение взлома при отсутствии необходимых автоматизированных средств обнаружения и реагирования (типа EDR-решений) – простительно.
А вот создание хрупкой ИТ-инфраструктуры – преступно. И это отдельная тема "разбора полетов" ИТ- и ИБ-служб у руководства.
Как бы ни строился диалог службы ИБ с руководством компании, головой за защиту компании от кибервзлома почти всегда отвечает руководитель службы ИБ. Когда компанию взламывают с нанесением ущерба, руководителя ИБ выставляют за дверь, назначив "крайним" за инцидент, с формулировкой "Не смог убедить руководство в наличии реальных внешних угроз и уязвимостей взломанной ИТ-инфраструктуры компании".
Вот об этом "Не смог убедить руководство" давайте порассуждаем. Зададим несколько наводящих вопросов.
Точно ли, что только ИБ-руководитель должен убеждать руководство? Но ведь бумаги руководству с указанием на недостатки инфраструктуры он писал? Писал. Перед топ-менеджментом с докладами о рисках ИБ раз в полгода выступал? Выступал. Ссылаясь на штрафные санкции регуляторов сферы ИБ и аудиторов, жуть нагонял? Нагонял. Внешний аудит ИБ компании проводил? Проводил. Координацией вопросов ИБ в рамках компании занимался? Занимался. С ИТ по поводу устаревшей ИТ-инфраструктуры ругался? Ругался.
И что? Функция ИБ – с ее ответственностью, стрессами, нагрузками, поражениями, неявными победами – в компании выполнялась, а ответственность за взлом руководство "вешает" только на службу ИБ? А нельзя ли, в случае принятия бизнесом рисков ИБ, процесс переноса неопределенности переложить на само руководство или на комплаенс, или на управление рисками, или на мониторинг и реагирование (SOC), или на черта лысого? То есть делегировать функцию ИБ по разным направлениям, оставив за службой ИБ координацию усилий в вопросах ИБ.
Сразу один очевидный ответ: переложить на руководство пока точно не получается, хотя регуляторы сферы ИБ работают в этом направлении (выпущены Федеральный закон 187-ФЗ, Положение Банка России 716-П и другие нормативные документы). Руководители бизнеса сильно мотивированы на то, чтобы защищать свою самооценку и чувство собственной компетенции. Это означает, что руководители почти всегда дистанцируются от чувства личной вины за любой инцидент в ИТ и в ИБ и быстро находят, кого обвинить в случае взлома компании.
Руководители служб ИБ вынуждено берут (по указанию топ-менеджмента, который их же за это в конечном счете и уволит) на себя большие риски, работая в условиях неопределенности, и от этого в итоге страдают. Это почти всегда и везде так. Но хорошая новость (хотя для кого как) в том, что топ-менеджмент страдает от этого еще больше.
Руководители, которые по определению обладают большей властью, в том числе обладают способностью принимать определяющие, судьбоносные для бизнеса решения, по той же логике несут больше ответственности вследствие этой власти. Ошибки в управлении компанией им обходятся дороже.
Бизнес погружается в информационную безопасность под грузом проблем с ИБ
Бизнес – это всегда противостояние, конкуренция, борьба, сроки. Бизнес задает "правила игры", и все в компании должны играть по ним. У ИБ нет свободы выбора, но есть нюансы.
Очевидно, что бизнес, как правило, не понимает уязвимостей современных, сложных ИТ-систем и их зависимости от скрытых рисков. Но есть одни (богатые, как правило, государственные) компании, в которых ИБ не слушают, не понимают, но готовы верить на слово и выделять запрашиваемый бюджет.
Есть другие (не очень богатые, как правило, частные) компании, в которых владельцы бизнеса не понимают, почему они должны переплачивать за безопасность (платить "налог на безопасность") и отказываются это понимать, урезая бюджеты на ИБ.
Таким владельцам бизнеса, которые верят только фактам, трудно объяснить, что риск в будущем, а не в безоблачном прошлом их невзломанных компаний.
А есть третьи компании, в которых в вопросы ИТ и ИБ вникают, подключают все возможные ресурсы (от рисковиков до кадровиков), и пытаются выстроить процессы, от которых зависит защищенность компании от внешних и внутренних ИБ-угроз. В этих компаниях "лицо, принимающее решение", не зависит в принимаемых решениях (или непринимаемых) от чьей-либо индивидуальной интерпретации вопросов киберзащищенности компании, потому что вопросам ИБ при корректировке бизнес-стратегии компании руководством постоянно уделяется должное внимание.
По понятным причинам ни первым, ни вторым и ни третьим не хочется перерасхода ресурсов. Но кибербезопасность, к сожалению, именно это и подразумевает: больше средств защиты, больше надежности, больше ЦОД и резервирования, больше защищенных каналов передачи данных, больше криптографии, больше "мозгов" в ИТ и ИБ. И все это для большей безопасности. И это то, что принято называть "налогом на безопасность". Но бизнес, по крайней мере российский частный бизнес, так устроен, что старается все оптимизировать, не оставляя избыточности.
И в этом еще одна сложность во взаимоотношениях между топ-менеджментом и ИБ.
Вместо послесловия
Мир все менее предсказуем, при этом мы всё больше полагаемся на технологии, в которых полно ошибок и уязвимостей, отчего поведение этих технологий трудно оценить, не говоря уже о том, чтобы предсказать риски от их использования.
1. Следует избегать посредников в вопросах информационной безопасности
Топ-менеджмент должен знать непосредственно от руководителя службы ИБ о гипотетической возможности взлома компании, о требованиях и рекомендациях регуляторов, которые позволили бы избежать взлома с нанесением ущерба компании.
Принципиальность – качество, которое необходимо руководителям служб ИБ.
Либо докажи свою правоту, любо уходи из компании. При этом руководитель должен, помимо знаний, обладать коммуникативными навыками, чтобы влиять на других.
2. Снизить зависимости киберустойчивости компании от знаний и навыков людей, обеспечивающих эту киберустойчивость
У компаний много структурных проблем. К сожалению, пока не получается создавать цифровые сервисы и автоматизированные системы, полностью защищенные от человеческого вмешательства. А те системы, которые работают сейчас и в которых человеческий фактор сведен, казалось бы, к минимуму, уязвимы из-за своих размеров, сложности применяемых технологий и необходимости постоянных обновлений этих систем, то есть внесения изменений.
Безопасность должна стать внутренней культурой бизнеса. Когда получается интегрировать безопасное использование цифровых технологий с существующими навыками сотрудников (как пример – двухфакторная аутентификация), тогда это влияет на ИБ компании сильнее любого курса повышения осведомленности в вопросах ИБ (хотя с обучения, то есть с узнавания нового, все и начинается).
Для обнаружения новых угроз службе ИБ нужны автоматизированные инструменты. Усилия ИБ должны подкрепляться технологическими решениями, которые способны самостоятельно расставлять приоритеты при выстраивании защиты от внешних и внутренних ИБ-угроз.
3. Компании атакуются способом, не предусмотренным их моделью угроз
Атакующие найдут то, что плохо защищено (читай не предусмотрено моделью угроз). Модель угроз – это только базовый сценарий защиты. Поиск решений по повышению киберустойчивости компании начинается с признания топ-менеджментом существующих проблем, угрожающих информационной безопасности компании, и принятия решения о последовательном сокращении рисков и готовности признать, что какие-то проблемы всегда остаются.
4. В ИБ важно ориентироваться не на вероятность события, а на масштаб последствий
Служба ИБ "пугает" руководителей, рассказывая им то, чего они не знают.
Она заставляет их чувствовать себя не в свой тарелке, смущая их сведениями и примерами, которые ломают их представления и показывают в новом свете действия, которые они совершали, ни о чем не задумываясь и не попадая в беду. Служба ИБ разрушает то, что в глазах большинства в компании безотказно работало без каких-либо нареканий.
Каждая система имеет уязвимые места, но это не означает, что систему нельзя защитить. В большинстве случаев предусмотренные заранее механизмы безопасности позволят решить проблему. Задача ИБ – совместно с ИТ выявить слабые и сильные стороны в защите инфраструктуры компании и провести структурные реформы, предоставив руководству веские обоснования серьезных вложений в инфраструктуру и средства защиты.
5. Побочные эффекты ИБ
От безопасности всегда есть побочные эффекты:
- про "налог на безопасность" написано выше;
- за высоким забором безопасности "жизни не видно";
- система мониторинга безопасности не может прерывать высокорисковые процессы и при этом не создавать дополнительные риски для бизнеса;
- структурные дефекты службам ИБ в одиночку не исправить, ненадежная, устаревшая ИТ-инфраструктура исправляет их сама, когда что-то из ее элементов самоуничтожается;
- руководство компаний устает выслушивать от служб ИБ бесконечные "нужно", "мы должны" и "нам следует". Чем чаще ИБ пытается предупреждать топ-менеджмент (представителей физического мира) о возможных ИТ- и ИБ-рисках, тем больше они склонны их игнорировать;
- с компромиссами во взаимоотношениях ИТ и ИБ большие проблемы;
- может наступить момент, когда ИБ-служба уже не столько работает, сколько объясняет остальным в компании, что она делает или что собирается сделать. Эти постоянные разъяснения изнуряют;
- ежедневный стресс от корпоративных тревог по поводу защищенности компании от старых и новых угроз и уязвимостей в течение долгого времени приводит к выгоранию сотрудников служб ИБ;
- оповещения от систем защиты игнорируются из-за того, что ранее предупреждения от этих систем приводили только к ложным срабатываниям, а также из-за банальной усталости персонала;
- инструкций становится все больше, а сотрудников, занимающихся реальной безопасностью, – все меньше. Почти в каждой компании старше пяти лет существует целый набор архаичных процедур, установленных для соблюдения давно забытых правил.
6. Надо уметь "продавать" топ-менеджменту идеальную модель безопасной компании
Для службы ИБ в компании важно стремиться "продавать" не функцию ИБ, а идеальную модель безопасной к внешним и внутренним угрозам компании, к которой эта компания неминуемо приближается, следуя рекомендациям всех заинтересованных в этом сторон.
В реальности управление рисками ИБ – это всегда баланс между разумным и достаточным, и, неверно определив этот баланс, вы неминуемо теряете в безопасности.