Как компании определить, на каком уровне «развития» находится ее информационная безопасность, а что нужно «подкачать», чтобы перейти на новый безопасный уровень? Разбираемся с Игорем Тюкачевым, руководителем отдела развития бизнеса продуктов ИБ компании Axoft.
Текущая ситуация такова: постоянные DDOS-атаки на российские сайты и требования регуляторов стимулируют российские компании двигаться в направлении осознанной зрелости. Эта тенденция критична для целых сегментов рынка. Так, согласно аналитике Positive Technologies, в 2021 году из всех отраслей чаще всего атакам подвергались госучреждения и медицинские организации. За прошедший год наблюдался рост продаж ИБ-решений в данных сегментах.
Но во всех ли секторах ситуация с ИБ-зрелостью одинакова? Что критично для российского SMB, возможно, некритично для в enterprise-компании? Как вообще бизнесу выяснить, на каком он находится этапе по «шкале ИБ-зрелости»? И что нужно сделать, чтобы «шкаф» не рухнул? Каковы шансы компаний «выжить», и можно ли все-таки достигнуть идеала в ИБ? Разбираемся с Игорем Тюкачевым, руководителем отдела развития бизнеса продуктов ИБ компании Axoft.
Команда Axoft создала градацию ИБ-зрелости, чтобы понимать, на каком уровне информационной безопасности находятся компании-клиенты наших партнеров. Основная цель – подобрать оптимальные решения под задачи заказчиков. Данная шкала, как и ее тезисы – не константны, и представляют, скорее, нечто среднее «по больнице».
Компании, находящиеся на этом этапе, – стартапы со штатом до 20 человек. Они, скорее всего, уже получили финансовые вливания и проходят уровень разработки идеи. Главное правило у таких компаний – «Поменьше израсходовать – побольше сэкономить». ИТ-сотрудника нет. Если возникают ИТ-проблемы/задачи – рассчитывают только на себя. В почете – cloud-решения и открытое программное обеспечение. Не пользуются резервным копированием, общие пароли для них – не редкость.
Как компании перейти на следующий этап ИБ-зрелости? Резервное копирование и двухфакторная аутентификация – это минимальный must have-набор.
Портрет бизнеса:
Сайт, как правило, является для таких компаний одним из главных инструментов продаж. И ему требуется защита веб-приложений. Особое внимание нужно обратить на обеспечение безопасности почты – большая часть угроз приходит именно с письмами. Не будет лишним анти-спам-решение.
Как подтянуть уровень ИБ в компании? Расширить обязанности ИТ-специалиста, добавив ему задачи по информационной безопасности.
Портрет бизнеса:
На этом этапе часто наблюдается ИБ-хаос:
Есть ли способы борьбы с хаосом? В первую очередь, нужно систематично регламентировать IT- и ИБ-процессы. Внедрить систему управления уязвимостями. Если не получается решить задачи собственными ресурсами – стоит обратиться к профессиональным аутсорсерам.
Портрет бизнеса:
Масштабная IT-инфраструктура и ее ежегодный рост приводит к:
Периметр корпоративной сети размыт из-за сотрудников, удаленно работающих на собственных телефонах, планшетах, ноутбуках. Безопасность критичных данных необходимо обеспечить при помощи систем MDM (Mobile Device Management).
Большое число сотрудников порождает:
Что нужно сделать, чтобы повысить уровень ИБ-зрелости на этом этапе? Успешный руководитель ИБ-подразделения должен научиться разговаривать с бизнесом на языке бизнеса. Вот пример. Компания может инвестировать прибыль в развитие бизнеса, и это принесет ей увеличение доходов. А может потратить на ИБ. Это не принесет бизнесу увеличения доходов, но спасет от убытков и/или недополученной прибыли в случае атаки злоумышленников или непреднамеренной утечки критичных данных.
И в текущих реалиях, когда использование только российских средств ИБ – в приоритете, мы можем помочь с оптимальным выбором ИБ-решения и его обоснованием.
Портрет бизнеса:
Такой бизнес заметен в информационном пространстве и вызывает фокусный интерес у злоумышленников. Это значит, что к атаке будут тщательно готовиться, проведут разведку, напишут специализированное ПО под конкретную компанию и будут использовать в том числе социальную инженерию. Стоимость такой атаки достаточно высока, но при ее успешности прибыль во много раз перекроет затраты. При этом остановка бизнес-процессов или недоступность информационных систем и сервисов для компании очень критична и означает значительные финансовые потери.
Высокая вероятность целевой атаки требует внедрения:
Нужно понимать, что APT – сложный тип атаки, который фактически невозможно блокировать. Его нужно обнаружить и расследовать. Поэтому, чем больше ИБ-решений входит в комплексное anti-APT, тем лучше. На текущий момент – это трудная, но одна из самых важных задач ИБ-подразделения.
На этом уровне важно понимать, что атака рано или поздно произойдет и защититься на 100% не получится. Важно работать над обнаружением атак и реагированием на них. Плюс работать в связке с ИТ- и другими подразделениями над восстановлением данных и процессов в случае успешности атаки.
Портрет бизнеса:
Для многих отраслей, таких как финансы, ритейл, телеком, очень важен time to market – время вывода ИТ-продукта на рынок силами собственных разработчиков. В идеале – безопасного продукта без дополнительных временных затрат на проверку безопасности. На это направлены решения DevSecOps:
Если у компании существует производство, на нем, скорее всего, развернута АСУ ТП. Поэтому ИБ-директору необходимо обеспечить ее безопасность. К сожалению, АСУ ТП в большинстве своем – это отдельный мир, куда ИБ не пускают. Здесь принято считать, что наложенные средства ИБ влияют на работу АСУ ТП и основная защита – это воздушный зазор и физический контроль сотрудников. Для того, чтобы эффективно обеспечивать защиту промышленных сетей и АСУ ТП, в ИБ-подразделении должен работать специалист, который разбирается в этих системах, технологических протоколах и процессах. Либо компании необходимо искать эту экспертизу вовне – у интеграторов.
Что дальше? Есть куда стремиться компаниям уровня ТОП-enterprise? Или это предел ИБ-зрелости? Ответ однозначен: компаниям всегда есть, к чему и куда стремиться. Нет компании, у которой всё идеально, всё внедрено, всё автоматизировано и работает как часы. Потому что:
Enterprise более готов к текущей реальности и более устойчив к внешним потрясениям, чем SMB. Но верхней планки зрелости нет, поскольку она постоянно повышается. Зрелость – это когда есть люди, которые знают, как надо выстроить систему, и ресурсы, чтобы это реализовать. У enterprise-компаний в этом плане возможностей больше. Но с другой стороны – большой шкаф громче падает. На большие компании чаще направлены атаки. В случае ее успешности крупному бизнесу придется сложнее и финансовые потери будут выше. Делать прогнозы – справится компания с ними или нет – неблагодарное занятие.