Security Lab

Отложить до реализации рисков

Отложить до реализации рисков
Русская пословица (или поговорка - до сих пор не знаю, как отличить) вещает нам мудрость о том, что "пока гром не грянет - мужик не перекрестится". Народные юмористы, немного переделав мудрость, утверждали, что не "пока гром не грянет" - а "пока жареный петух не клюнет", тем самым много лет назад сформулировав главное правило управления рисками информационной безопасности. Автор этого блога, наблюдая за тенденциями в нашей с вами, дорогие читатели, любимой сфере, с уверенностью может сказать о том, что в российской ИБ этот самый "жареный петух" должен быть не абы каким, а со степенью прожарки well done, клюв у него должен быть из твердосплавных материалов и, чтобы его заметили, нужно не просто клюнуть - а усиленно долбить.

Управление рисками в российском бизнесе - деятельность, если не диковинная, то очень редкая, чуждая подавляющему большинству организаций. Оставшаяся, малая часть, делает вид что управляет ими - в основном "для галочки", проставляемой в каких-то отчетах по различным причинам. Понятно, что все такое "управление" сводится к тотальному их "принятию" либо манипулированию оценкой риска для перевода в "красную" зону только тех, что по каким-то причинам интересны самим "управленцам". Информационная безопасность, в понимании "управленцев", "EBITDA не увеличивает", а значит и интерес к рискам ИБ находится на "мусорном" уровне. Да, должны быть, да, в общей карте рисков - но исключительно для того, чтобы мальчик из "большой четверки", проверяя достоверность финансовой отчетности, поставил "галку" в соответствующей графе чек-листа. А что там с этими рисками дальше - никого не интересует. Кроме ИБ-шника, разумеется.

***

Эта история произошла до первой волны кризиса, в "тучные годы", как их принято называть. В одной компании ИБ-шник ежеквартально "пропихивал" в карту бизнес-рисков один и тот же пункт: "Риск незаконного проникновения в информационную систему предприятия вследствие отсутствия или недостатков в организации системы предотвращения вторжений". ИБ-шник не хотел многого - просто купить пару IPS, потому что понимал, что одним антивирусом и proxy-сервером информационную систему не защитишь. Но "управленцы" упорно не желали замечать этот риск, из раза в раз принимая его. "Ты-то нам на что?" - говорили они ему, переводя риск из "красной" зоны в "зеленую" только потому, что у них был этот самый ИБ-шник.

Если человеку тысячу раз сказать, что он - лошадь, то на тысячу первый он ответит "иго-го". Так продолжалось некоторое время, пока ИБ-шник не "гоготнул" и не исключил этот злосчастный пункт из карты рисков. Никто этого и не заметил - и все успокоились. До тех пор, пока заезжий консультант не привез с собой "свежака" под названием Conficker. И тогда началось самое интересное. Антивирус TrendMicro не справлялся с этой модификацией трояна: не удаляя вирус из системы он, тем не менее, оповещал пользователя радостным сообщением "вирус удален". Через час "пали" файловые сервера, через два - "легли" контроллеры домена и работа всей организации намертво встала. ИТ-шники бегали в мыле, судорожно пытались восстановить работоспособность сети, и орали на службу техподдержки производителя антивируса.

Вирусная активность сопровождалась огромным объемом паразитного трафика, но источник "заразы" установить не удавалось. В этой вакханалии, ИБ-шник вместе с главным ИТ-шником, командующим штабом обороны, принимают важное решение: "развернуть" единственную имеющуюся IPS, стоявшую на выходе в Интернет и работавшую в режиме обнаружения из-за опасений ИТ-шников, "внутрь" локальной сети, и включить ее на "полную катушку". Сказано - сделано, и уже через пол-часа старенькая Proventia была включена по другой схеме и сразу же выдала первые результаты: масса однотипных сигнатур "запрос на аутентификацию" (так троян подбирал пароли) шла в серверный сегмент сети с двух "помоечных" файловых серверов, предназначенных для пула консультантов. Сервера вырубили, IPS-ка успешно "рубила" сигнатуры и выдавала очаги поражения, вирус лечился Symantec-ом, через день и TrendMicro "родил" обновление, позволявшее реально удалять заразу. И все сразу вспомнили про ИБ-шника, про риски, про IPS-ки и дали куда больше денег, чем он просил изначально.

И конкуренты, и партнеры этой организации знали о случившемся. У тех и у других работали точно такие же ИБ-шники, точно так же "клянчившие" деньги на обеспечение своей деятельности, и получали в ответ "кукиш с маслом". Как они радовались тому, что это произошло - риски, о которых они так давно говорили, наконец, реализовались! "Ну теперь-то нам все дадут" - думали они и... ошиблись. НИКОМУ не дали НИЧЕГО...

***

Эта история произошла до первой волны кризиса, в "тучные годы", как их принято называть. По сравнению с ними, бизнес оценивает текущую ситуацию уже не как "кризис" - то есть кратковременный "провал" с последующим восстановлением - а как новые экономические условия, постоянное "дно". Для того, чтобы существовать в них, бизнесу необходимо сокращать издержки и тратить деньги на самое необходимое. Входит ли ИБ в перечень "самого необходимого"? Вопрос не столь однозначный.

Конечно, бизнес любой современной компании очень сильно завязан на автоматизацию, на ИТ, и обеспечение бесперебойного их функционирования - важный аспект. Аналитические агентства, вендоры, интеграторы и все те, кто зарабатывает на ИБ, наперебой рассказывают о новых угрозах, рисках и вызовах времени, от которых во что бы то ни стало нужно защищаться. ИБ-шники, словно бандерлоги перед Каа, молча внемлют. Но бизнесменам на это ровным счетом наплевать - их интересует исключительно "своя хата". Поэтому все усилия ИБ-шника разбиваются, словно волна о причал, вопросами "управленца" вроде "а много ли вокруг примеров, когда злостные хакеры "валят" бизнес-систему компании? а в России? а в нашей отрасли? а в нашем городе?".

Потому что примеров - НОЛЬ.

Трудно сказать, чья это заслуга: то ли злоумышленникам это не интересно - все сосредоточились на ДБО да на госорганах, то ли ИБ-шникам удалось выстроить защиту своей "вотчины" таким образом, что соваться первым туда не следует. Лишь изредка, и то - "за бугром", в высокотехнологичных компаниях, нет-нет да что-нибудь случается. Но, кроме ИБ-шников, это мало кого волнует: все знают, что самолеты иногда падают, но по-прежнему летают, надеясь, что с ними в этот раз ничего плохого не случится.

В таких условиях многие ИБ-шники впадают в депрессию: как жить дальше, когда вокруг столько всего страшного? Что сказать бизнесу - что все плохо? Так бизнес спросит - "а ты мне зачем?" и не дай Бог еще выгонит в связи с оптимизацией численности. Сказать, что все хорошо? Но вдруг случится что-то плохое, и тогда бизнес спросит - а где ты был, дорогой (в прямом смысле этого слова) товарищ ИБ-шник? И тоже выгонит.

И поэтому все, что ИБ-шнику остается - это управление рисками в самом извращенном его понимании: говоря бизнесу, что все, в общем-то, неплохо, подсовывать служебную записку "о необходимости приобретения чего-нибудь в целях совершенствования системы управления информационной безопасностью" с детальным описанием всех рисков и последствий и, не принимая близко к сердцу наблюдать, как далекий от ИБ "управленец" небрежно выводит в правом верхнем углу документа свой вердикт:

"Отложить до реализации рисков".
защита информации размышления бизнес безопасность
Alt text

Домашний Wi-Fi – ваша крепость или картонный домик?

Узнайте, как построить неприступную стену