Регулярно слышу вопросы и сомнения относительно термина «недопустимые события«, которые использует в своей риторике Positive Technologies. Многие противники считают, что не надо вводить новые сущности без необходимости и уже известных терминов «угроза» и «риск» вполне достаточно. Мне хотелось бы немного порассуждать на эту тему.
Идея введения нового термина связана с очень простой мыслью — на уровне топ-менеджмента эти термина не заходят. Вообще. Они слишком технократичны, сложны и непонятны. Возьмем к примеру «угрозу«. Нарушение конфиденциальности, целостности, доступности… Буэээ. Это прекрасно понятно любому безопаснику, чего не скажешь о финансовом директоре или операционном. С ними можно говорить о рисках, о чем с ними и говорят рисковики, готовящие простыни под названием «реестр рисков«, содержащий сотни всяких опасностей, которые могут произойти с компанией. Причем опасности из совершенно разных областей, среди которых есть и кибербезопасность. И вот сидит генеральный директор в своем мягком кожаном кресле, а на столе перед ним простыня на сотни пунктов с кучей полей по каждому риску — владелец, вероятность, ущерб, приоритет, пороговые значения, остаточный риск, стратегия управления, план устранения, дата пересмотра и т.п. И, конечно, начинаются вопросы:
- А как вы посчитали вероятность? А как быть, если событие еще ни разу не происходило?
- А как вы посчитали ущерб? А с владельцем вы его согласовали?
- А что такое остаточный риск? Это что, получается, что риски все равно остаются?
- И т.д.
Конечно, хороший рисковик на все эти вопросы ответит, но много ли у нас таких? Когда вы в разговоре с коллегами упоминаете про угрозу утечки ПДн, то вы оцениваете ее вероятность или ущерб? Ну вероятность вы, скорее всего, оцениваете равной единице (смотрим не в контексте «если», а в контексте «когда»). А ущерб?
Когда вы думаете, тратить деньги на КАСКО или нет, вы точно оцениваете реальную вероятность/частоту попадания в аварии или кражи вашего авто? А ущерб вы, скорее всего, на понятийном уровне оцениваете с максимальной границей в стоимость авто.
Так почему, когда заходит речь о недопустимых событиях, все так прям и давят на то, что они не измеряемы. Ну так вы попробуйте сначала угрозы поизмерять, а потом уже и к недопустимым будете такое требование предъявлять. Возьмем, к примеру, угрозу подмены датасета в информационной системе на базе искусственного интеллекта. Вы вообще неспособны оценить ни вероятность, ни ущерб от этого, так как у вас нет для такого расчета исходных данных. И что, не заниматься теперь защитой искусственного интеллекта?
Вот честно, положа руку на сердце, вы можете посчитать каждый риск ИБ, который вы считаете настолько важным, чтобы вынести его на уровень руководства компании? Скорее всего все закончится профанацией, то есть «светофором» или «тепловой картой», на которой все риски у вас будут оцениваться как «высокие», «средние» или «низкие».
И когда генеральный директор вас спросит, что имелось ввиду под критическим риском, вы не сможете ответить ему ничего конкретного. В лучшем случае вы сошлетесь на экспертную оценку, которая не имеет ничего общего с реальной оценкой рисков. Более продвинутые ИБшники подготовят матрицу, которая позволит разъяснить разницу между несущественными и катастрофическими последствиями, а также между редким и вероятным событием. Выглядеть это можно примерно так:
Вас ничего в ней не смущает? Лично меня да. Например, риск с вероятностью реализации выше 90% и почти отсутствующими последствиями, устраняемыми в рамках ежедневных операций, оценивается как «высокий» (выше него только «чрезвычайный»). Ну это же бред, если вдуматься. Как может быть высоким риск, который устраняется без каких-либо напрягов? И вот с оценкой рисков ИБ такое часто. Да еще проблема с оценкой того, что новое. По нему как минимум вероятности еще никакой нет. Поэтому я не люблю риски; хотя и понимаю, что само слово уже давно прижилось в бизнес-среде. Но именно в контексте ИБ оно деградировало. Ну или если смотреть с более позитивной позиции, еще не доросло до состояния спелости зрелости. И тут перед нами открывается два пути развития ситуации:
- Начать прокачивать навыки реальной оценки рисков ИБ, с доказательной базой по вероятности их наступления и ущербом от их реализации. Очень достойная исследовательская задача, но сложнореализуемая, если вы не работали в компаниях «большой четверки» и не успели унести при своем уходе оттуда нужные Excel’евские таблички с кучей вкладок и красивыми диаграммами. Правда, вопрос с исходными данными для расчетов все равно остается открытым.
- Ввести в оборот новый термин, не имеющий за собой негативного флёра и позволяющий простым и понятным языком объяснить топ-менеджерам, что плохого может произойти в компании, о чем должен задуматься руководитель уровня CxO, и что имеет преломление в области кибербеза. Тут-то на сцену и выходят недопустимые события.
Их задача не подменять собой риски и угрозы, а предложить более понятную на высоком уровне управления предприятием, терминологию. Если угрозы определяют ИБшники, а риски — рисковики или руководитель ИБ, то недопустимые события определяют именно топы. Нонсенсом является ситуация, когда недопустимые события определяют ИБшники. Это тоже превращается в профанацию. Идея же совсем в другом — вовлечь бизнес в кибербез. Если вам удается это с помощью «угроз» или «рисков», то и прекрасно, а если нет? Как раз тут и помогают «недопустимые события».Недопустимые события — это события, делающие невозможным достижение предприятием, отраслью, государством операционных и стратегических целей или приводящие к длительному нарушению основной деятельности, в результате кибератак.
Давайте обратимся немного к другой истории. Вы когда про SOC говорите, у вас какая картина в голове рисуется? Нечто, что позволяет мониторить угрозы? А что насчет реагирования? Ведь именно в нем кроется весь смысл мониторинга. Зачем вам знать, что вас в данный момент грабят, если вы не можете ничего этому противопоставить?
Ну такая себе безопасность. Поэтому вместо SOC мы в Positive Technologies стали использовать термин «центр противодействия угрозам». Та же история и с «недопустимыми событиями». Можно противостоять сложившейся практике, тратя усилия на объяснения очевидного и переобучение заблудших, а можно попробовать начать все с чистого листа, введя новый термин и продвигая именно его. Часто так гораздо проще достичь результата, чем пытаться писать против ветра.
Заметка
Недопустимые события, риски или угрозы ИБ? была впервые опубликована на Бизнес без опасности .
