Аудит ИБ vs инцидент: что дешевле — ITGLOBAL.COM

Аудит ИБ vs инцидент: что дешевле
У цифровой экономики есть свои плюсы и минусы. Мобильные сервисы, интернет вещей, большие данные, 5G-сети, криптовалюта с одной стороны повышают эффективность бизнеса и качество услуг, с другой — вынуждают уделять больше внимания кибербезопасности. Это подтверждает постоянный рост экономических потерь от действий киберпреступников.
По данным аналитиков Group-IB, в период с середины 2018 по середину 2019 года ущерб российских банков от кибератак составил 500 млн руб. Общемировые потери, вне зависимости от отрасли, в 2019-м достигли 2,5 трлн долл. По оценке Всемирного экономического форума, к 2022 году глобальный убыток киберпреступности составит 8 трлн долл.



Тем не менее, до сих пор для многих организаций информационная безопасность (ИБ) — отнюдь не приоритетная статья расходов в бюджете на ИТ. Затраты на внешний аудит ИБ таким компаниям кажутся необязательными, а то и сомнительными. «Не дешевле ли пережить инцидент», — рассуждает расчетливый руководитель.
Попробуем разобраться, насколько все-таки оправдан аудит ИБ — не только как мера по контролю и совершенствованию безопасности информационных систем, но и как финансовое вложение.

Уровень киберзащиты в России
В конце февраля Positive Technologies опубликовали результаты пентестов (тестирования на проникновение), которые проводились в 18 российских финансовых организациях в 2019 году. Основными задачами специалистов-пентестеров были: проникновение во внутреннюю сеть из интернета (при внешнем тестировании), получение максимальных полномочий в ИТ-инфраструктуре (при внутреннем тестировании) и получение контроля над критически важными системами — автоматизированными рабочими местами (АРМ КБР), SWIFT, системой управления банкоматами и пр. Результаты можно назвать удручающими. Приведем главные:

— В большинстве компаний внешний злоумышленник способен проникнуть во внутреннюю сеть из интернета (для этого требуется 5 дней); уровень защищенности внешнего периметра — «крайне низкий».
— Во всех компаниях внутренним пентестерам удалось получить максимальные права на управление ИТ-инфраструктурой, в том числе удалось продемонстрировать возможность хищения денег (временные затраты — 2 дня).
— Уровень защищенности информационных систем и корпоративной сети компаний также обозначен как «крайне низкий».

Эти результаты схожи с результатами пентестов ITGLOBAL.COM. Характерно, что у некоторых из участвовавших в исследовании организаций было внедрено ПО для мониторинга и корреляции различных событий безопасности — SIEM. Но этот факт никак не повлиял на возможность внешнего и внутреннего проникновения в инфраструктуру компании, включая получение доступа к важным компонентам, и хищения денежных средств. Следовательно, процессы по мониторингу и выявлению инцидентов в компаниях не работали на должном уровне.
Если взять банковский сектор, то здесь, кроме финансовых потерь, «дыры» в информационной безопасности приводят и к потерям репутационным. Особенно часто это связано с утечками персональных данных (ПДн) клиентов. Недавнее исследование компании InfoWatch показало, что 2019 году количество инцидентов, связанных с утечками данных, выросло на 60% по сравнению с 2018-м. При этом было скомпрометировано более 1 млрд пользовательских записей.

Но утечки характерны не только для финансовых организаций. Так, например, в начале года в сеть утекли ПДн 17 млн клиентов сети алкомаркетов «Красное и белое». База продавалась на профильном форуме за 15 тыс. рублей.

«Сливы» нередко случаются в результате действий внутренних злоумышленников — и компрометируются не только ПДн, но и данные, составляющие коммерческую тайну. Это объяснимо: теневой рынок ПДн тоже с каждым годом растет. По информации аналитического центра «Гарда Технологии», стоимость клиентских ПДн сейчас в среднем составляет 175 тыс. руб. за 45000 клиентов. Причем 90% банковских данных «сливается» инсайдерами — сотрудниками и подрядчиками.




Еще один критичный вектор атаки — серверы компаний. Вывод из строя серверного оборудования, например с ключевой для бизнес-процессов СУБД, даже на 1 день может повлечь за собой серьезные убытки.

В еще одном исследовании Positive Technologies, посвященном затратам на информационную безопасность 170 российских организаций из разных отраслей, даны такие цифры:

— От 500 тыс. до 2 млн руб. будет стоить день простоя всех информационных систем для 33% компаний
— От 10 до 50 млн руб. — для 18% компаний
— Более 50 млн руб. — для 19%

Надо ли говорить, что далеко не во всех организациях оцениваются потенциальные риски простоя ключевых сервисов — даже приблизительно. Как правило, сумму ущерба считают уже после того, как инцидент случился.

Чем полезен аудит ИБ
Аудит ИБ — это комплексное аудиторское обследование уровня защищенности информационных систем организации от внутренних и внешних угроз. Он включает в себя проверку всех важных компонентов информационных систем. Кроме средств защиты и процессов ИБ, проверяются сетевое и серверное оборудование, ОС, СУБД. Итогом аудита становится подготовка подробного отчета и разработка экспертных рекомендаций по защите ИТ-инфраструктуры для минимизации рисков.

Даже в тех компаниях, у которых есть собственный отдел ИБ, не всегда удается правильно выстроить процессы инфобезопасности, поскольку специалисты по ИБ часто погружены в перманентные, локальные проблемы. Аудитор помогает взглянуть на ситуацию со стороны.

Кроме того, аудит — это еще и возможность оптимизировать затраты на информационную безопасность компании. А это один из главных пунктов при оценке общих затрат на ИТ. Предложенная аналитическим агентством Gartner методика расчета совокупной стоимости владения ИТ-активами (TCO) подразумевает, среди прочего, обоснование бюджета на ИБ. Методика позволяет сделать информационную безопасность финансово измеримой. Используя рекомендации аудитора, можно сократить необязательные расходы на ИБ.

Аудит в рублях

Для оценки целесообразности аудита некоторым компаниям достаточно элементарного сопоставления затрат на аудит ИБ и стоимости простоя информационных систем и критичных сервисов.

Для наглядности: стоимость услуги «аудит информационной безопасности» в среднем по рынку составляет 500 – 700 тыс. руб. (для крупных финансовых компаний ценник доходит до 5 млн руб.) Здесь же уместно привести статистику Schneider Electric: по оценке аналитиков, за два часа простоя СХД или серверов российские финансовые организации теряют в среднем 13 – 20 млн руб. — цифры, несопоставимые со стоимостью аудита.

Аудит ИБ — это как страховка от финансовых рисков, только лучше. Преимущество страховки в том, что она помогает компенсировать последствия инцидента. Аудит ИБ помогает его не допустить.
аудит информационная безопасность кибератаки кибербезопасность
Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

ITGLOBAL

ITGLOBAL про IT