Журнальная версия статьи была опубликована в " Information Security/Информационная безопасность" №4, 2020 .
В качестве бодрого начала перефразируем на ИБ-шный лад известное выражение Льва Толстого, с которого начинается роман “Анна Каренина”: “Все модели угроз похожи друг на друга, каждая отдельно взятая взломанная компания уникальна по-своему”.
К уникальности компаний в изложенном выше контексте можно отнести тему, обозначенную в заголовке: взаимоотношения топ-менеджмента компаний и собственных служб информационной безопасности (ИБ). Попробую описать некоторые моменты этих взаимоотношений в предлагаемых обстоятельствах: в обычное время - до взлома и в моменты испытаний этих отношений на прочность – во время и после взлома.
До обнаружения взлома компании оставалось несколько месяцев
(Просто информация: В одном из региональных представительств компании менеджер по продажам открыл на своем рабочем компьютере фишинговое электронное сообщение. С помощью зараженного трояном вложения к сообщению злоумышленникам удалось получить доступ к обычной, непривилегированной учетной записи этого менеджера на рабочем компьютере. Атакующие начали сканировать корпоративную сеть организации, исследуя различные сегменты сети, осуществляя поиск аутентификационных данных привилегированных пользователей, тем самым постепенно увеличивая степень проникновения. Штатным антивирусным средством, установленным на всех компьютерах компании, вредоносная активность не обнаруживалась)
Для ИБ-службы в условиях цифровизации бизнеса всё проблематичнее становится поддержание способности компании надежно функционировать, вопреки нескончаемому потоку обнаруживаемым производителями ПО и оборудования уязвимостям, а также помех со стороны нарушителей, пытающихся нанести вред компании с использованием известных или новых ошибок и уязвимостей.
В наше турбулентное время поток хороших новостей от служб ИБ практически иссяк: ежедневные фишинговые атаки, взломы интернет-сервисов частных компаний и сайтов госорганов, хищения у клиентов банков и самих банков, социальная инженерия, вольности работников и прочее не дают повода службам ИБ для бодрых рапортов руководству.
Серьёзную проблему представляет стадия оценки и доказательства угрозы, а также принятие решения о срочных и неотложных действиях, которые надо предпринять компании, чтобы оценить масштабы и последствия обнаруженного инцидента и, по возможности, уменьшить угрозу.
В этих условиях безопасность требует взаимодействия и сотрудничества множества людей и, в первую очередь, топ-менеджмента и служб ИБ, так как от этого зависит устойчивость компаний к внешним и внутренним угрозам, которые могут иметь отношение к целям того или иного бизнеса.
Понятно, что без четко выстроенной в компаниях иерархической структуры реагирования и управления рисками службам ИБ будет сложно влиять на ситуацию в случае негативного развития событий.
Также понятно, что в случае вяло текущего инцидента никто, кроме ИТ и ИБ, не вникает в то, что происходит на самом деле. Все включатся на полную только когда увидят последствия. А пока компания не получила доказательств угрозы, никто не хочет оказаться в шкуре ИБ и разделить, как принято считать, исключительно ИБ- и ИТ-риски.
Будем исходить из того, что люди, руководящие службами ИБ и финансирующие их труд, находятся в здравом уме и способны принять разумный риск, выбирая между предполагаемыми потерями от реализации риска ИБ и получаемой выгоды от его принятия, то есть, оставляя всё без изменений.
Служба ИБ даёт рекомендации, основанные на своём понимании ситуации и оценке рисков. Если есть уверенность, что можно предотвратить возможный ущерб для компании, тогда жесткие ограничительные меры вплоть до отключения доступа к Интернету и временной приостановки обслуживания клиентов будут оправданной мерой. Если этого не сделать, то последствия от взлома могут обойтись компании гораздо дороже. Но бизнесу необходимость жестких мер надо ещё доказать. Это как с закрытием границ во время пандемии. Решение, как показало время, абсолютно верное. При этом во всех странах самым актуальным был один вопрос: а вы точно уверены, что это необходимая мера и угроза столь велика?
Обычная реакция бизнеса на подозрения служб ИБ: что там у вас? аномалии в трафике? несанкционированный доступ учетных записей? появление подозрительных скрытых файлов? У нас на всех компьютерах стоит антивирус? А за что мы вам деньги платим - разберитесь и доложите. Работаем дальше.
На первый план выходит не сама угроза, а уровень опасности, который должна определить служба ИБ. И именно на службу ИБ ложится ответственность за определение момента, когда нужно “дёрнуть рубильник” и, возможно, убедить руководство о временной приостановке бизнес-активности.
Иногда, злоумышленники допускают оплошность и у компании появляется шанс отразить атаку и не допустить ущерба - утраты активов, утечки информации, приостановки деятельности и прочего. Но, чтобы не допустить негативных последствий, службе ИБ нужна решительность, принципиальность и воля для преодоления существующей иерархии в компании и социальной дистанции между ИБ и топ-менеджментом. А на это не так просто решиться.
Чтобы обнаружить уникальную атаку в конкретной инфраструктуре, нужно обладать практикой и иметь инструментарий для обнаружения уникальных атак. А в большинстве компаний специалистам по информационной безопасности это вряд ли под силу.
Представим, что первый тревожный звоночек уже прозвучал, и служба ИБ за несколько дней до эскалации взлома обратилась за помощью к своему надежному партнеру – к компании, занимающейся расследованиями киберпреступлений. Далее с помощью приглашенного партнера происходит выявление вредоносной активности в корпоративной сети компании и сбор сведений о противнике. Все силы брошены на выявление и блокирование на сетевом периметре организации IP-адресов узлов в Интернете, выполняющих роль командных серверов атакующих.
А пока взлом с нанесением ущерба ещё не случился, проанализируем, как часто и в каком формате происходит взаимодействие руководителей служб ИБ с топ-менеджментом компаний.
У руководства, как правило, есть собственный “начальственный” этаж, изолированные места на парковке, приближенный, весьма обособленный персонал, иногда и отдельный лифт. Всё это сокращает не только переживаемый совместно производственный опыт, но даже любые случайные контакты. Например, руководители бизнес-подразделений, в отличие от руководителей служб ИБ, ежедневно общаются с топ-менеджментом на разных совещаниях. Какова вероятность, что у ИБ с топ-менеджментом будет что-то общее, объединяющее их усилия для решения вопросов по безопасному в плане ИБ-угроз управлению компанией?
А ведь, если разобраться, у них не так мало общего. У топ-менеджмента: бессонные ночи, перманентная тревога за выживание бизнеса, ощущение страха и большая ответственность. И у ИБ: постоянные задержки на работе, тревога за безопасность применяемых бизнесом технологий, ожидание неизбежных атак на компанию и большая ответственность.
Что происходит, когда топ-менеджмент испытывает тревогу от незащищенности компании от внешних и внутренних угроз? Он обращается за информацией к тем, кому привык доверять, и с кем привык советоваться – как правило, это директор по общей безопасности и ИТ-директор. Но до службы ИБ эта понятная обеспокоенность руководства доходит, как правило, через третьи руки.
Ситуация с отсутствием прямого представителя служб ИБ в руководстве компаний – это одна из причин, мешающих топ-менеджменту делать конкретные шаги в нужном направлении с точки зрения существующих рисков ИБ в компании.
Итак, как правило, руководителя службы ИБ нет в руководстве компании, а интересы ИБ представляет “посредник” – обычно, это руководитель общей безопасности, который по-своему фильтрует доводимую до него информацию от службы ИБ. Этот “посредник” понимает, что некоторая информация от службы ИБ равноценна признанию каких-то недостатков в компании вообще и в курируемом им департаменте, в частности. Поэтому откровенный разговор с руководством по вопросам ИБ, которые он не совсем понимает, ему нежелателен.
ИБ-служба в основном взаимодействует с рядовыми сотрудниками, которым иногда трудно понять, почему так важно соблюдать требования безопасности. То, что кажется работникам компании чрезмерным, неудобным или просто проявлением паранойи, делается службой ИБ ради высоких целей - повышения устойчивости компании к внешним и внутренним угрозам и минимизации потерь от реализации существующих рисков. Служба ИБ видит все процессы компании изнутри и знает все недостатки. То, что менеджер по продажам считает стартовой точкой для развития сервиса, с точки зрения ИБ, может означать финишную прямую к неизбежной утечке конфиденциальной информации. Для службы ИБ в приоритете не столько заработать, сколько не потерять.
(Просто информация: Используя реквизиты доступа учетной записи на взломанном компьютере менеджера регионального филиала компании, атакующие после сканирования всей сети организации получили доступ к компьютерной сети головной компании. С использованием удаленного управления компьютером из сети Интернет, лица, не являющиеся сотрудниками компании, получили доступ к внутренним информационным системам компании. Были украдены и выложены для продажи в Интернете данные о всех клиентах компании и внутренние документы с пометкой “конфиденциальная информация”)
У победы много отцов, и лишь поражение — сирота
На экстренном совещании у руководства компании руководитель службы ИБ докладывает, что произошло. Руководством формулируется задача: быстро обнаружить скомпрометированные ресурсы компании, оперативно отреагировать и восстановиться с минимальным ущербом.
Служба ИТ получает указание отсоединять критически важные компьютеры от сети и сканировать сеть специальным скриптом от привлеченной ранее к расследованию сторонней компании. Принимается решение о переходе на использование "белого" списка сайтов при работе в сети Интернет.
Во время обнаружения взлома все “стоят на ушах”, сохраняя при этом неизменным желание требовать от руководителя ИБ-службы те или иные сведения относительно начала и развития инцидента. К службе ИБ, как правило, беспрерывно обращаются: руководство, служба общей безопасности, ИТ-служба, юридический департамент, PR-служба.
В эти моменты руководству компании важно определить единую точку контакта с прессой, чтобы не допустить утечки информации в СМИ, которая может помешать дальнейшему расследованию инцидента. При этом, при общении с руководством службе ИБ важно уходить от темы виноватого (оправдываться, почему защита ИТ-инфраструктуры компании оказалась недостаточно надежна), а стараться формулировать своё видение ситуации на понятном руководству языке, желательно коротко.
Когда всё уже случилось, все с готовностью признаются в своем спасительном неведении относительно того, что такое вообще могло произойти. Это позволяет подразделениям, которые косвенно или непосредственно отвечают за риски в компании, дистанцироваться от службы ИБ, которая знала, но “не била во все барабаны”.
Как правило, службе ИБ с самого начала понятен сценарий взлома и, возможно, она за несколько дней до инцидента уже описывала руководству примерный, жизненный сценарий развития событий. Но что из того, что событие было предсказано службой ИБ, если его последствия стали для всех шоком? Кричать “Пожар!” уже поздно.
В момент взлома требуется прежде всего решительность ИБ-руководителя, так как на карту поставлена репутация службы ИБ в компании. Сразу возникает масса вопросов. Какую информацию выдавать PR-отделу? Что сообщать партнерам и клиентам компании, обеспокоенным фактом возможной утечки персональных данных в результате взлома. А что если злоумышленники продолжают оставаться в корпоративной сети и ждут подходящего случая, чтобы повторить атаку? Что предпринять чтобы вернуть информационную инфраструктуру компании в состояние, предшествующее взлому? Следует ли отключить всем работникам компании доступ в Интернет? Кто из системных администраторов может помочь справиться с ситуацией, так как по мере погружения в ИТ-инфраструктуру, службе ИБ открываются такие тайны, о существовании которых она и не подозревала?
Экспертиза от сторонней компании, занимающейся расследованием случившегося, выявляет, что причиной инцидента послужила комбинация нескольких факторов (человеческого, технологического, организационного), которые и привели к взлому с нанесение ущерба.
(Просто информация: По результатам расследования инцидента на рабочих компьютерах некоторых сотрудников компании, в том числе доменных администраторов специалистами приглашенной для расследования инцидента компании обнаружены следы вредоносной активности. Принято решение об использовании другого антивирусного решения вместо ранее используемого антивирусного ПО и закупке систем класса EDR. Также принято решение о разделении сетей внутри компании: на критические сети и все остальные, менее важные.
Ключевым фактором взлома компании признан инфраструктурный. Компания не была оснащена необходимыми средствами защиты от целенаправленных атак и не инвестировала деньги в создание современной инфраструктуры)
Делаем выводы после взлома: что произошло и кто виноват?
Самое важное после взлома, это не событие как таковое, а причиненный компании ущерб.
После взлома компании надо понять, виновата ли служба ИБ в том, что не смогла убедить руководство в самой возможности взлома. Не определить приближение взлома при отсутствии необходимых автоматизированных средств обнаружения и реагирования (типа EDR-решений) - простительно. А вот создание хрупкой ИТ-инфраструктуры – преступно. И это отдельная тема “разбора полетов” ИТ- и ИБ-служб у руководства.
Как бы не строился диалог службы ИБ с руководством компании, головой за защиту компании от кибервзлома, почти всегда отвечает руководитель службы ИБ. Когда компанию взламывают с нанесением ущерба, руководителя ИБ выставляют за дверь, назначив “крайним” за инцидент с формулировкой: “не смог убедить руководство в наличии реальных внешних угроз и уязвимостей взломанной ИТ-инфраструктуры компании”.
Вот об этом “не смог убедить руководство” давайте порассуждаем. Зададим несколько наводящих (возможно, риторических) вопросов.
Точно ли, что только ИБ-руководитель должен убеждать руководство? Но ведь бумаги руководству с указанием на недостатки инфраструктуры он писал? Писал. Перед топ-менеджментом с докладами о рисках ИБ раз в полгода выступал? Выступал. Ссылаясь на штрафные санкции регуляторов сферы ИБ и аудиторов, жуть нагонял? Нагонял. Внешний аудит ИБ компании проводил? Проводил. Координацией вопросов ИБ в рамках компании занимался? Занимался. С ИТ по поводу устаревшей ИТ-инфраструктуры ругался? Ругался.
И что? Функция ИБ - с ее ответственностью, стрессами, нагрузками, поражениями, неявными победами - в компании выполнялась, а ответственность за взлом руководство “вешает” только на службу ИБ? А нельзя ли, в случае принятия бизнесом рисков ИБ, процесс переноса неопределённости переложить на само руководство или на комплаенс, или на управление рисками, или на мониторинг и реагирование (SOC) или на “чёрта лысого”? То есть делегировать функцию ИБ по разным направлениям, оставив за службой ИБ координацию усилий в вопросах ИБ.
Сразу один очевидный ответ: переложить на руководство, пока, точно не получается, хотя регуляторы сферы ИБ работают в этом направлении - выпущены 187-ФЗ, Положение Банка России 716-П и другие нормативные документы (алгоритм реализации 187-ФЗ здесь , обзор Положения 716-П для ИТ- и ИБ-служб здесь ). Руководители бизнеса сильно мотивированы на то, чтобы защищать свою самооценку и чувство собственной компетенции. Это означает, что руководители почти всегда дистанцируются от чувства личной вины за любой инцидент в ИТ и в ИБ и вместо этого быстро находят, кого обвинить в случае взлома компании.
Руководители служб ИБ вынуждено берут (по указанию топ-менеджмента, который их же за это, в конечном счете, и уволит) на себя большие риски, работая в условиях неопределенности и от этого в итоге страдают. Это почти всегда и везде так. Но хорошая новость (хотя, для кого как) в том, что топ-менеджмент страдает от этого еще больше.
Руководители, которые по определению обладают большей властью, в том числе обладают способностью принимать определяющие, судьбоносные для бизнеса решения, по той же логике несут больше ответственности вследствие этой власти. Ошибки в управлении компанией им обходятся дороже.
Бизнес - это всегда противостояние, конкуренция, борьба, сроки. Бизнес задает “правила игры” и все в компании должны играть по ним. У ИБ нет свободы выбора, но есть нюансы.
Очевидно, что бизнес, как правило, не понимает уязвимостей современных, сложных ИТ-систем и их зависимости от скрытых рисков. Но есть одни (богатые, как правило, государственные) компании, в которых ИБ не слушают, не понимают, но готовы верить на слово и выделять запрашиваемый бюджет.
Есть другие (не очень богатые, как правило, частные) компании, в которых владельцы бизнеса не понимают, почему они должны переплачивать за безопасность (платить “налог на безопасность”) и отказываются это понимать, урезая бюджеты на ИБ. Таким владельцам бизнеса, которые верят только фактам, трудно объяснить, что риск в будущем, а не в безоблачном прошлом их невзломанных компаний.
А есть третьи компании, в которых в вопросы ИТ и ИБ вникают, подключают все возможные ресурсы (от рисковиков до кадровиков) и пытаются выстроить процессы, от которых зависит защищенность компании от внешних и внутренних ИБ-угроз. В этих компаниях “лицо принимающее решение” не зависит в принимаемых решениях (или непринимаемых) от индивидуальной интерпретации кого-либо в вопросах киберзащищенности компании, потому что вопросам ИБ при корректировке бизнес-стратегии компании руководством постоянно уделяется должное внимание.
По понятным причинам, ни первым, ни вторым и ни третьим не хочется перерасхода ресурсов. Но кибербезопасность, к сожалению, именно это и подразумевает: больше средств защиты, больше надёжности, больше ЦОД-ов и резервирования, больше защищенных каналов передачи данных, больше криптографии, больше "мозгов" в ИТ и ИБ. И все это для большей безопасности. И это то, что принято называть “налогом на безопасность”. Но бизнес, по крайней мере, российский, частный бизнес, так устроен - он старается все оптимизировать, не оставляя избыточности.
И в этом ещё одна сложность во взаимоотношениях между топ-менеджментом и ИБ.
Выводы
Мир все менее предсказуем, при этом мы всё больше полагаемся на технологии, в которых полно ошибок и уязвимостей, отчего поведение этих технологий трудно оценить, не говоря уже о том, чтобы предсказать риски от их использования.
1. Следует избегать посредников в вопросах информационной безопасности
Топ-менеджмент должен знать непосредственно от руководителя службы ИБ о гипотетической возможности взлома компании, о требованиях и рекомендациях регуляторов, которые позволили бы избежать взлома с нанесением ущерба компании.
Принципиальность – качество, которое необходимо руководителям служб ИБ. Либо докажи свою правоту, любо уходи из компании. При этом руководитель, помимо знаний, должен обладать коммуникативными навыками, чтобы влиять на других.
2. Снизить зависимость киберустойчивости компании от знаний и навыков людей, обеспечивающих эту киберустойчивость
У компаний много структурных проблем. К сожалению, пока не получается создавать цифровые сервисы и автоматизированные системы, полностью защищенные от человеческого вмешательства. А те системы, которые работают сейчас и в которых человеческий фактор сведен, казалось бы, к минимуму, уязвимы из-за своих размеров, сложности применяемых технологий и необходимости постоянных обновлений этих систем, то есть внесения изменений.
Безопасность должна стать внутренней культурой бизнеса. Когда получается интегрировать безопасное использование цифровых технологий с существующими навыками сотрудников (как пример - двухфакторная аутентификация), тогда это влияет на ИБ компании сильнее любого курса повышения осведомленности в вопросах ИБ (хотя с обучения, то есть, с узнавания нового, всё и начинается).
Для обнаружения новых угроз службе ИБ нужны автоматизированные инструменты. Усилия ИБ должны подкрепляться технологическими решениями, которые способны самостоятельно расставлять приоритеты при выстраивании защиты от внешних и внутренних ИБ-угроз.
3. Компании атакуются способом, не предусмотренным их моделью угроз
Атакующие найдут то, что плохо защищено (читай: не предусмотрено моделью угроз). Модель угроз – это только базовый сценарий защиты. Поиск решений по повышению киберустойчивости компании начинается с признания со стороны топ-менеджмента существующих проблем, угрожающих информационной безопасности компании, и принятия решения о последовательном сокращении рисков и готовности признать, что какие-то проблемы всегда остаются.
4. В ИБ важно ориентироваться не на вероятность события, а на масштаб последствий
Служба ИБ “пугает” руководителей, рассказывая им то, чего они не знают. Она заставляет их чувствовать себя не в свой тарелке, смущая их сведениями и примерами, которые ломают их представления и показывают в новом свете действия, которые они совершали ни о чём не задумываясь и не попадая в беду. Служба ИБ разрушает то, что в глазах большинства в компании безотказно работало без каких-либо нареканий.
Каждая система имеет уязвимые места, но это не означает, что систему нельзя защитить. В большинстве случаев предусмотренные заранее механизмы безопасности позволят решить проблему. Задача ИБ - совместно с ИТ выявить слабые и сильные стороны в защите инфраструктуры компании и провести структурные реформы, предоставив руководству веские обоснования серьёзных вложений в инфраструктуру и средства защиты.
5. Про “побочные эффекты” ИБ
От безопасности всегда есть побочные эффекты:
-про “налог на безопасность” написано выше;
-за высоким забором безопасности “жизни не видно”;
-система мониторинга безопасности не может прерывать высокорисковые процессы и при этом не создавать дополнительные риски для бизнеса;
-структурные дефекты службам ИБ в одиночку не исправить – ненадежная, устаревшая ИТ-инфраструктура исправляет их сама, когда что-то из её элементов самоуничтожается;
-руководство компаний устаёт выслушивать от служб ИБ бесконечные “нужно”, “мы должны” и “нам следует”. Чем чаще ИБ пытается предупреждать топ-менеджмент (представителей физического мира) о возможных ИТ- и ИБ-рисках, тем больше они склоны их игнорировать;
-с компромиссами во взаимоотношениях ИТ и ИБ большие проблемы;
-может наступить момент, когда ИБ-служба уже не столько работает, сколько объясняет остальным в компании, что она делает или что собирается сделать. Эти постоянные разъяснения изнуряют;
-каждодневный стресс от корпоративных тревог по поводу защищенности компании от старых и новых угроз и уязвимостей в течение долгого времени приводит к выгоранию сотрудников служб ИБ;
-оповещения от систем защиты игнорируются из-за того, что ранее предупреждения от этих систем приводили часто к ложным срабатываниям, а также из-за банальной усталости персонала;
-инструкций становится все больше, а сотрудников занимающихся реальной безопасностью – все меньше. Почти в каждой компании старше пяти лет существует целый набор архаичных процедур, установленных для соблюдения давно забытых правил.
6. Надо уметь “продавать” топ-менеджменту идеальную модель безопасной компании
Для службы ИБ в компании важно стремиться продавать не функцию ИБ, а “идеальную модель” безопасной к внешним и внутренним угрозам компании, к которой эта компания неминуемо приближается, следуя рекомендациям всех заинтересованных в этом сторон.
В реальности управление рисками ИБ - это всегда баланс между разумным и достаточным, и неверно определив этот баланс, вы неминуемо теряете в безопасности.
