24 Сентября, 2015

Всегда ли надо бороться с инцидентом ИБ?

Алексей Лукацкий
Так удачно сложилось, что сегодня у меня на курсе по промышленной ИБ как раз идет тема по реагированию на инциденты, где инструктор рассказывает в чем отличие между этим процессом в обычной ИБ и в промышленной. Ну и по ходу приводит различные кейсы и примеры из жизни. Если коротко, то его идея заключается в следующем - в отличие от "обычного" корпоративного ИТ-мира, в промышленных системах надо в первую очередь оценивать воздействие инцидента на технологический процесс. Есть он? Значит с инцидентом надо бороться до конца. Нет его? Ну и фиг с этим инцидентом. Разумеется, это не значит, что про инцидент надо забыть, просто ему не надо уделять столько внимания, просто контролируя ситуацию и отслеживая статус - не начнет ли инцидент в какой-то момент влиять на технологический процесс. 

Вот, например, возьмем какую-нибудь газовую компанию "имярек". Известно, что на ее объектах "сидит" Stuxnet. Но он ничего не делает, на процессы не влияет, информацию о них не собирает, ни с кем не взаимодействует. Надо ли срочно останавливать процесс добычи и транспортировки газа или можно повременить, вычистив системы от Stuxnet в процессе планового обновления системы или иных регламентных работ? Если воздействия нет, то и спешить не надо. Останов системы обойдется гораздо дороже.

И вот сегодня же произошло другое событие; даже можно сказать инцидент. Взломали сайт  конференции "Код информационной безопасности", которая сегодня проходит в Челябинске. Разместили на сайте вот такую картинку и надпись:



Возникает вопрос - надо ли срочно что-то делать организаторам?  В данном случае, как минимум, надо понять, а к чему это приведет? Отменится мероприятие? Врядли? Участники откажутся от прихода? Ну так мероприятие уже идет. Участники не придут на следующие мероприятия (а их еще 6 должно быть)? Тоже врядли - они выбирают исходя из качества докладов, а не качества сайта. Спонсоры отвернутся? Тоже маловероятно. Скорее даже наоборот. Взлом сайта - это пусть и не самый лучший, но PR. Кто помнит, пару лет назад уже была схожая ситуация. Сайт  Уральского форума  по банковской ИБ был взломан. Так вот после этого был всплеск посещаемости и самого сайта и смежных ресурсов организаторов. Полезно? Безусловно.

А что там с репутацией? Ведь она может пострадать. Отчасти да. Но взлом организатора обычных мероприятий и взлом ИБ-компании - это две большие разницы. Для второй такой инцидент несет гораздо больше негативных последствий, чем для первой. Для того, кто создавал и поддерживал сайт такая "слава" тоже не нужна. А вот организаторам рисков почти никаких. Хотя само событие, безусловно, неприятно.

Поэтому рвать на себе волосы и срочно закрывать сайт-визитку и пытаться все вернуть в предатакованное состояние не стоит. Это как раз и приведет к негативным последствиям - участники не узнают о новостях ближайших мероприятий и организаторы/спонсоры потеряют свою аудиторию. Надо спокойно все проанализировать, понять причины взлома, устранить их и после этого вернуть сайт в рабочее состояние.

Но... Из этого события можно сделать замечательный ход, например, рассказав на следующем мероприятии, в Самаре, рассказ о том, как ломали, как расследовали, как восстанавливали и какие уроки извлекли. Такие презентации на "живых" примерах просто отлично воспринимаются аудиторией. И не самое приятное событие оборачиваются кучей плюсов.

ЗЫ. И вообще, как отмечают коллеги, сайт любой ИБ-компании должен быть хотя бы один раз взломан :-) Это полезный опыт, который позволяет перейти от общих и красивых слов о важности ИБ к реальному опыту, которым потом и поделиться не стыдно (если не стыдно).