Антикрихкість в кібербезпеці: стратегія і тактика

В умовах цифрової економіки такі питання як кібербезпека і кібергігієна стають ключовим ресурсом для успіху компаній і зростання їх прибутку

Питання кібербезпеки та кібергігієни стають ключовим ресурсом для успіху компаній.

Джерело: PaySpace Magazine Global

Кібербезпека безпосередньо впливає на безперервність бізнес-процесів. Компанія може впровадити ефективні кіберполітики та використовувати дорогі ІТ системи, але якщо бізнес-партнери дотримуються більш низьких стандартів безпеки або зловмисники використовують співробітників як інсайдерів, то операційні процеси організації опиняються під загрозою.

В умовах цифрової економіки такі питання як кібербезпека і кібергігієна: збереження даних, управління ІТ-системами як єдиним цілим, а також ефективні програми відновлення в разі кібератак стають ключовим ресурсом для успіху компаній і зростання їх прибутку. Хаотичне, реактивне управління цими процесами не тільки призводить до упущеної виручки, але й створює ризики для майбутнього бізнесу в цілому.

Типові ризики для компаній

Тактика «консервації» одного разу розроблених систем. Наші спостереження в ході роботи з різними компаніями показують, що найчастіше організації впроваджують масштабні ІТ-проекти, щоб забезпечити кібербезпеку, високий рівень доступності цифрових сервісів і безперервність бізнесу. Ці кроки створюють ілюзію захищеності, в якій керівники перебувають протягом кількох років. В реальності ж компанія залишається вразливою, якщо не використовує тактику безперервного вдосконалення систем безпеки. Необхідно постійно аналізувати, наскільки діюча стратегія відповідає новим обставинам.

Відсутність скоординованості. Часто в компаніях один департамент не знає, що робить інший або не здогадується про зміни в ІТ-системах, що створює нові ризики. Така ізоляція призводить до цілого ряду небажаних наслідків - починають з'являтися тіньові ІТ-процеси, про які не знає централізована служба управління інфраструктурою. У разі нештатної ситуації ці «самописні» сервіси злітають, а корпоративне ІТ не може їх відновити, оскільки нічого про них не знає. У тіньового ІТ, яким часто керують фахівці без технічних навичок і знань, але з тягою до технологій, немає достатньо інструментів і досвіду, щоб забезпечити повноцінну підтримку цифрових сервісів. У підсумку - винних немає, бізнес втрачає конкурентні переваги або зовсім простоює.

Внутрішньокорпоративні інсайдери. До них відносяться як нинішні, так і колишні співробітники, які усвідомлено стають інсайдерами або несвідомо порушують корпоративні правила. Наприклад, вони можуть невимушено поділитися з друзями про якісь дані системи безпеки компанії, в якій раніше працювали або працюють донині. Сюди ж відносяться і бізнес-партнери - постачальники, клієнти, а також вендори та обслуговуючі організації, які мають або мали раніше доступ до інфраструктури компанії. За нашими розрахунковими даними, на це джерело ризику припадає понад 55% кіберінцідентів.

Фокус на безпеку як таку, а не на всі виробничі та бізнес - процеси в цілому. Мета не в абсолютній безпеці ІТ-систем, а в забезпеченні гнучкості, та вміння повернутися в стійкий, працездатний стан з будь-якої нештатної ситуації. Це означає, що дизайн процесів, система контролів, робота операторів - це «рівні», які підвищують загальний рівень безпеки в разі правильного їх налаштування. З цієї ж причини починати потрібно з «верхніх рівнів» мереж безпеки, наприклад, коли компанія використовує АСУТП - автоматизовану систему управління технологічним процесом. Іншими словами, системи запобігання вторгнень встановлюються в тих сегментах, які не дозволяють кіберзлочинцям дістатися до якогось фізичного пристрою, датчика, щоб зламати його і порушити нормальну роботу підприємства.

Відсутність аудиту існуючих кіберзагроз. Це необхідно для того, щоб оцінити, наскільки надійною та дієвою є кібербезпека компанії та програма відновлення. Найкращим способом такої перевірки є імітація кібервторгнення. В ході аналізу програм відновлення оцінюється, чи застосовні вони до реальної нештатної ситуації, чи забезпечена компанія необхідними ресурсами за розумною ціною для виконання кроків по відновленню, чи володіють співробітники необхідними навичками та як можна вдосконалити існуючу стратегію виходу з кризи після кіберінцідента. В ході такої перевірки відбувається звірка існуючої матриці ІТ-ризиків з тими, з якими довелося зіткнутися, та оцінюється їх вплив на бізнес. Важливо, щоб такі навчальні вправи проводилися регулярно і не рідше одного разу на рік.

Перекладання функцій безпеки на середній менеджмент. Серед основних принципів ефективного управління системами безпеки і програмами відновлення - залучення до них топ-менеджменту і власника бізнесу. Це означає, що повинні бути створені спеціальні органи: комітети за участю вищого керівництва, які будуть проводити моніторинг таких заходів і при необхідності вносити в них корективи. Це гарантує як залученість всіх рівнів управління - від фахівця до топ-менеджменту, так і забезпечення контролю з боку власників.

Два ключові принципи програми відновлення від кібератак?

Я б виділив 2 ключові принципи програм відновлення від кібератак.

По-перше, періодичний перегляд політик і процедур. Створивши їх одного разу, компанії нечасто приділяють увагу тому, щоб їх оновлювати. В результаті ці документи можуть не містити інструкції про порядок відновлення критичних систем або в них може застаріти контактна інформація. А в разі кризової ситуації, ці процедури можуть бути й зовсім недоступними через масштабний збій сховища даних або комунікаційних мереж.

По - друге, інтеграція програми з відновлення із загальною стратегією забезпечення безперервності та її тестування. Наприклад, часто метрики допустимого часу відновлення для ІТ-процесів не узгоджені з часом, необхідним для відновлення критичних бізнес-процесів. Відсутність тестування означає, що у компанії немає гарантій, що програма відновлення може бути застосовна на практиці.

Таке тестування повинно бути всеосяжним. Недостатньо провести відновлення даних для окремої системи. Метою повинно бути відновлення функціонування критично важливих для організації бізнес-процесів та ІТ-систем. Також необхідно перевіряти ступінь готовності персоналу діяти в умовах кризової ситуації, чи готова та наскільки швидко організація може провести переміщення персоналу та активів з основної локації на альтернативну.

Ми також рекомендуємо залучати до тестування ключових постачальників, тому що це дає можливість оцінити ефективність вашого плану по безперервності з урахуванням існуючої залежності від зовнішнього середовища та отримати зворотній зв'язок від постачальників для його поліпшення.

Бізнес, для якого кібератаки стають несподіваними і непередбачуваними «чорними лебедями», програє. Потрібно шукати можливості діяти на випередження. Важливо використовувати комплексний підхід, що включає в себе оцінку ризиків, їх аналіз, моделювання різних сценаріїв, які видаються найсуттєвішими і значущими для бізнесу, вибудовувати програми відновлення на кожен сценарій. Саме це і буде вашою стратегією антикрихкості в умовах ризиків, що постійно змінюються.

Геннадій Резниченко, заступник директора практики з надання консультаційних послуг у сфері інформаційних технологій і кібербезпеки KPMG в Україні