10 лет назад, еще до того момента, когда Крым внезапно бросился в распростертые объятия России, я написал заметку « А что если? «, в которой описал используемую часто в бизнесе деловую игру под одноименным названием (анализ «what if») или процесс моделирования оценки возможных альтернативных стратегий и рисков, с ними связанных. Тогда я предложил список вопросов, которые могут быть заданы самому себе и в зависимости от нашей готовности ответа на них, мы сможем приоритизировать свои усилия по нейтрализации описанных рисков. Среди прочего был и такой «А что если завтра мой поставщик средств защиты и услуг ИБ обанкротится или мое начальство откажется с ними дальше работать?«, который так напоминает то, что происходит, начиная с 24-го февраля в России и Беларуси. Да, причина этого «А что если» иная, но результат тот же.
После того, как Крым в едином порыве присоединился к России и США ввели первые санкции в новейшей истории, я во время проводимых мной деловых игр и штабных киберучений перефразировал этот вопрос в «А что если завтра отключат обновления приобретенных вами средств защиты информации?» и в «А что если завтра введут санкции в области ИТ/ИБ и нельзя будет купить средства защиты, которые использовались вами ранее?«. Многие воспринимали мои вопросы несерьезно, считая эти риски маловероятными. И это несмотря на то, что эти риски уже реализовались в отношении крымских компаний. Но в игре «А что если» вопрос не в том, реалистичный сценарий или нет, а в том, готовы ли мы к нему и сможем ли мы достать подготовленный план реагирования и следовать ему?
За последние 10 лет я к своему списку добавил еще несколько, которыми и делюсь. Сейчас, когда многие задумываются о том, как жить в ИБ дальше, менять или не менять имеющиеся средства и сервисы ИБ, есть возможность, сначала поиграть в «А что если» и уже тогда начать планировать новую жизнь. Итак, новые вопросы:
- А что если завтра отключат обновления приобретенных вами средств защиты?
- А что если завтра введут санкции в области ИТ/ИБ и нельзя будет купить средства защиты, которые использовались ранее?
- А что если завтра к вам придет проверка РКН по жалобе о нарушении вами 242-ФЗ?
- А что если на форуме pastebin или в канале «Утечки информации» появятся доказательства компрометации вашей внутренней сети?
- А что если ваше руководство решило сократить CapEx, переориентировав свои расходы на OpEx?
- А что если к вам пришла проверка МВД по поводу лицензионности софта и изъяло оборудование, включая средства защиты
- А что если на организацию ведется активная информационная атака в социальных сетях: распространяется информация о текущих трудностях и множатся негативные оценки дальнейших перспектив
- А что если вендор вывез вас за границу и об этом сообщили вашему руководству, обвинив в коррупции?
- А что если вы работаете в госбанке и вам вручили подарок свыше 3000 рублей?
- А что если сертификат на СКЗИ закончился и его не продлевает производитель
- А что если вы получили информацию, что некоторые сотрудники, судя по информации в социальных сетях, выражают неудовольствие своей работой в банке, руководством и уровнем своих доходов, сами испытывают материальные трудности, но гонятся за «красивой жизнью»
- А что если ваш поставщик средств ИБ (консультант) внесен в список иноагентов?
- А что если вашему ключевому сотруднику пришел оффер от Сбербанка/Солара/Позитива/Бизона/TikTok и предложение о зарплате, вдвое/втрое выше, чем у вас?
- А что если ваша компания будет поглощена «Ростехом» и вы станете частью ОПК?
- А что если завтра примут законопроект о необходимости выполнять требования 17-го приказа ФСТЭК по отношению к информации, владельцем которой является государство?
- А что если завтра примут законопроект, который обяжет вас через 10 дней с момента принятия сообщать об инцидентах с ПДн в течение 24 часов с момента обнаружения инцидента?
- А что если коронавирус вернется и в более жестком варианте?
На самом деле таких вопросов может быть гораздо больше — часть их них зависит от компании, часть является универсальной. Например, часть из них может быть взята из отчета, упомянутого во вчерашней заметке . Но суть, думаю, ясна. Организовать такую деловую игру очень просто — достаточно выделить 1-2 часа времени и дать возможность высказаться всем участникам, не отсекая ни одной версии/вопроса, даже если они кажутся дурацкими или фантастическими. Многое из того, что сейчас происходит, казалось таким еще пару месяцев назад, а сегодня это новая реальность. На стадии формулировки вопросов не надо погружаться в ответы на них — вы рискуете погрузиться в детали и забыть про все остальное. В идеале можно пригласить внешнего фасилитатора, который не скован никакими ограничениями и может не только сам задавать правильные вопросы, но и управлять игрой, вести ее, записывать все варианты вопросов, а потом подвести итоги, которые и повлияют на вашу стратегию ИБ, которая сейчас явно должна претерпеть изменения.
Заметка А что если? — II была впервые опубликована на Бизнес без опасности .
