14 19 27 ИБ-навигатор Осторожно, для бизнеса низкая ... ·...

б е з о п а с н о с т ь б и з н е с - п р о ц е с с о вВыстраивание процессов ИБ

ИБ-навигатор для бизнеса

Осторожно, низкая облачность!

Мария Воронова Илья Борисов Виктор Ивановский14 19 27

В этом году главная тема конференции – «Безопасность цифровой экономики

Северо-Западного региона»

Цифровая экономика предполагает появление новых информационных систем и сервисов.

Но если зависимость новой экономической модели от ИТ очевидна, то влияние ИБ на ее

эффективность требует новых доказательств. В частности, обновленная инфраструктура

предусматривает встроенные средства ИБ, а не «навесные». А для этого ИБ-специалисты должны быть вовлечены в инфраструктурные ИТ-проекты

на самых ранних стадиях.

О том, как этого добиться, и пойдет речь в рамках программы BUSINESS INFORMATION SECURITY

SUMMIT ST. PETERSBURG 2018

22 МАРТАСанкт-Петербург,Park Inn by Radisson Pulkovskaya

Более 250 участников из России и зарубежных стран

Более 20 докладов международных и российских экспертов

4 тематическиесессии

Пленарнаяплатформа

Возможность за ОДИН день увидеть и узнать все о последних тенденциях в сфере ИБ

3№20 IV квартал 2017

Два громких эпизода 2017 г., связанных с шифровальщи-ками WannaCry и Petya, стали, по моему мнению, мегастыдом для отрасли. Другое дело, если бы речь шла о нашествии инопланетян или хотя бы происках иностранных спецслужб. Но последствия от вредоносов, которые эксплуатировали вин-тажные сценарии и уязвимости, иначе как позором всей отрасли ИБ назвать нельзя.

Реакция на эти события известных брендов только усилила ощущение стыда. Когда «взрослые» рыночные авторитеты стыд-ливо прячут взгляд и, как дети, врут, что, мол, у них все было хорошо и их данная проблема не коснулась… Не надо быть суперэкспертом, чтобы понять – это не соответствует действи-тельности. Достаточно просто зайти на сайт компании, и станет ясно, что у нее что-то не так. Кроме того, конкуренты мгновенно начали использовать инциденты ИБ в своих интересах: «Наша продукция дороже, но, в отличие от ваших постоянных постав-щиков, мы сможем ее вам доставить…».

Впрочем, у отрицательных эпизодов были, как минимум, две положительные стороны.

Во-первых, бизнесу теперь не надо подробно рассказывать про риски инфор-мационной безопасности. Если не собственные потери, то истории пар-тнеров или конкурентов – лучшее доказательство актуальности темы. Это вам – не статистика угроз от мировых аналитиков, которая воспринимается как нечто относящееся лишь к чужой жизни. Это – гораздо ближе, а значит, теперь в это верят.

Во-вторых, любовь отрасли к «бумажной» безопасности, которую любят красиво называть Compliance, была подорвана чередой увольнений руко-водителей ИБ-служб как ответственных за парализацию бизнеса на основе винтажной уязвимости. Да, эти руководители обложились сертифика-тами безопасности и прочими бумажками, но шифровальщики их, видимо, не читали, а потому сумели достичь своей цели.

В конце года мне довелось стать участником множества опросов, в которых непременно фигурировал вопрос: «Какие ИБ-темы вам будут интересны в следующем году?». Что на него отвечали специалисты? Маркетологи могут быть довольны, все тренды, которые они в течение года вдалбливали в головы участников рынка, нашли отражение в анкетах. Практически ничто не было забыто или оставлено без внимания. Но ни в одной анкете я не увидел инте-реса к задачам поднятия престижа, авторитета и развития PR-политики служб ИБ. А значит, тем, чья карьера не сильно пострадала в результате винтажных атак, следует ожидать повторения инцидентов и усиления чувства стыда.

Винтажный стыд

ОЛЕГ СЕДОВ

Главный редактор журнала «!Безопасность Деловой Информации»

В этом году главная тема конференции – «Безопасность цифровой экономики

Северо-Западного региона»

Цифровая экономика предполагает появление новых информационных систем и сервисов.

Но если зависимость новой экономической модели от ИТ очевидна, то влияние ИБ на ее

эффективность требует новых доказательств. В частности, обновленная инфраструктура

предусматривает встроенные средства ИБ, а не «навесные». А для этого ИБ-специалисты должны быть вовлечены в инфраструктурные ИТ-проекты

на самых ранних стадиях.

О том, как этого добиться, и пойдет речь в рамках программы BUSINESS INFORMATION SECURITY

SUMMIT ST. PETERSBURG 2018

22 МАРТАСанкт-Петербург,Park Inn by Radisson Pulkovskaya

Более 250 участников из России и зарубежных стран

Более 20 докладов международных и российских экспертов

4 тематическиесессии

Пленарнаяплатформа

Возможность за ОДИН день увидеть и узнать все о последних тенденциях в сфере ИБ

ИБ И БИЗНЕС

Желтая земляная собака на страже российской кибербезопасностиАлексей Лукацкий, эксперт BISA

Безопасность 4.0Дмитрий Мананников, бизнес-консультант по безопасности, эксперт BISA

Выстраивание процессов ИБ: задачи и перспективыМария Воронова, руководитель направления консалтинга InfoWatch

ИБ-навигатор для бизнесаИлья Борисов, менеджер по ИБ регионального кластера СНГ компании thyssenkrupp Industrial Solutions

Лавина Хайтек: сколько информации утекло из ИТ-компанийАндрей Арсентьев, аналитик компании InfoWatch

ИБ-ПРАКТИКА

Осторожно, низкая облачность!Виктор Ивановский, менеджер по развитию бизнеса Solar Security

10

6

27

14

19

23

Содержание

32 Shadow IT в вашей сетиДарья Орешкина, директор по развитию бизнеса Web Control

ИБ в условиях безденежья и непониманияДмитрий Кандыбович,генеральный директор ООО «Атом Безопасность»(Staffcop Enterprise)

ПОД МАСКОЙ

Об Интернет-мусоре в стиле хоккупод маской Розенбота

КОМПЕТЕНЦИИ

Моральный вред как часть ущербаАнна Осокина, эксперт по ИБ компании R-Vision

38

42

45

«!Безопасность Деловой Информации»

6

ИБ и

биз

нес

Желтая земляная собака на страже российской кибербезопасности

В начале 2017 г. на круглом столе «Коммерсанта» возникла

дискуссия о том, растет ли рынок информационной

безопасности в России. Некоторые участники дискуссии

заявили, что растет, обосновав это увеличением доходов

их компаний. Другие считают, что происходит не рост,

а лишь перераспределение долей рынка в результате

импортозамещения. Сейчас, в конце года, вроде,

уже можно понять, какая точка зрения была верна.

АлексейЛукацкий эксперт BISA


ИБ и бизнес

Увы, российский рынок исторически является закрытым. У нас отсутствует доверенный источник цифр, что при-водит к всевозможным манипуляциям и откровенной лжи. И все же, несмотря на отсутствие аудированной отчетно-сти, можно попробовать оценить (хотя бы качественно, если не количественно) то, что происходило на рынке ИБ в году уходящем, и спрогнозировать, что про-изойдет в году грядущем.

Что подарил год ушедший

Как ни парадоксально, но если во всем мире ИБ опирается на технологические тенденции, то в России тон задают регуляторы и законодатели. Именно они определяют, как будут развиваться отечественные ИБ-игроки.

Дело в том, что основные деньги сегодня крутятся в госорганах, госкорпорациях и иных структурах с существенным уча-стием государства. А они, как известно, ориентированы на четкое выполнение требований нормативных актов, опре-деляющих не только сферу приме-нения средств защиты информации, но и то, какими эти средства могут быть. Спектр указаний – от использования лишь сертифицированных продуктов до применения вполне конкретных решений. Последний вариант вводится либо напрямую, либо завуалированно – за счет требования того, чтобы решение обеспечивало функции, реализованные только в единственном на рынке про-дукте. Да и сертификация проводится далеко не для всех существующих типов продуктов (всего для 10%), что также сужает спектр решений, из которых можно выбирать.

Я бы выделил два основных норматив-ных акта и блок законов, которые стали отраслевыми событиями 2017 г. и на кото-рые в следующем году будут молиться российские специалисты и компании, занимающиеся кибербезопасностью.

• Законодательство по безопас-ности критической информаци-онной инфраструктуры. Принятые летом три закона, а также подзаконные акты, разработанные во их исполнение, должны стать новым толчком к раз-витию отрасли. По сути, речь идет о повторении истории десятилетней давности – тогда были приняты доку-менты по защите ПДн. 2008 г. счи-тается одним из переломных: тема ИБ вышла за рамки госорганов и коснулась всех без исключения организаций в России. Критически важная инфраструктура есть пусть и не у каждой отрасли, но, как мини-мум, у 13 отраслей, причем денежных, что должно заставить их потратиться на выполнение требований, за несо-блюдение которых возможно уго-ловное наказание.

• Новый ГОСТ Банка России по базо-вым мерам защиты информации в финансовых организациях. Глав-ный финансовый регулятор не впер-вые выпускает требования к защите, но впервые они вынесены на уровень национального стандарта. Кроме того, в Госдуму внесен законопроект о наделении ЦБ новыми полномочи-ями по контролю не только над бан-ками и участниками национальной платежной системы, но и над всеми остальными финансовыми органи-зациями – негосударственными пенсионными фондами, страховыми компаниями, брокерами и биржами, микрофинансовыми предприяти-ями и т.п. Стандарт вступает в силу в 2018 г., и организации начинают готовиться к его реализации. И хотя число банков неуклонно сокращается, они по-прежнему остаются наиболее значимыми клиентами для многих игроков рынка ИБ, не имеющих воз-можности работать с государством.

• 31-й приказ ФСТЭК по мерам защиты информации в ОПК.


8

ИБ и

биз

нес Президент России недавно заявил,

что отечественным предприятиям надо быть готовым в любой момент перейти на военные рельсы. Вспо-минается Советский Союз, кото-рый также во многом развивался на базе оборонно-промышленного комплекса. Этот комплекс не только давал стране заказы, но и привносил новые технологии в другие отрасли хозяйства. В 1990-х и начале 2000-х гг. отечественный ОПК немного захирел, но в последние несколько лет начал получать новые бюджеты и заказы. И хотя ракеты продолжают падать, область, на которую ОПК распро-страняет свое действие, растет. А значит, растет и важность реали-зации 31-го приказа ФСТЭК 2017 г. (не путать с 31-м приказом ФСТЭК 2014 г.).

А что с SOC? Увы, эта тема серьезного влияния на рынок не оказывает, дорого-визна делает соответствующие продукты немассовыми, и все сводится к болтовне и PR. Более того, сам по себе монито-ринг ИБ и управление событиями ИБ на предприятиях не являются чем-то новым – про них ФСТЭК говорила в своих нормативах еще в 2013 г. Всерьез под-хлестнул данную тему… закон «О без-опасности критической информацион-ной инфраструктуры», который требует немедленного уведомления госсистемы обнаружения, предотвращения и ликви-дации последствий компьютерных атак (ГосСОПКА) об инцидентах, что во мно-гих случаях означает создание системы мониторинга и управления инцидентами.

Теперь – о стартапах. На волне импорто-замещения стали проводиться конкурсы стартапов, формироваться деревни стартапов (так и хочется провести парал-лели с потемкинскими деревнями), а их

имена иногда даже прорываются в рее-стры отечественного ПО. На столь пози-тивном фоне не хочется говорить о нега-тивных тенденциях, но они – налицо. Большинство молодых компаний, наме-ренных работать в индустрии кибербе-зопасности, обречены.

Согласно распоряжению главы России регуляторы вынуждены ужесточить тре-бования к лицензиатам, а без лицензии российскому разработчику почти невоз-можно получить сертификат на средство защиты. Нет сертификата – закрыт рынок госорганов и госкорпораций, сложно попасть в реестр отечественного ПО. Без этого сложно получить инвести-ции на развитие и выпустить хороший продукт. Замкнутый круг. Вот и мрут стартапы, как мухи, или переориентиру-ются на Запад, регистрируясь в других юрисдикциях, переводя туда интеллек-туальную собственность и платя там налоги.

Нам сложно представить, что большое количество стартапов станут успешными на ниве ИБ в России, ориентирующейся на цифровой суверенитет. А, например, в Израиле таких стартапов в год появ-ляется около 300-400, и многие из них выходят на международный рынок или поглощаются более крупными ком-паниями. Вот и получается, что отече-ственный рынок по-прежнему поделен между несколькими давно известными игроками, которые не очень поворотливы и не спешат выпускать что-то инноваци-онное (хотя у этого есть и объективные причины).

Рынок продемонстрировал и немало позитивных примеров. Во-первых, тре-бования регуляторов становятся более адекватными (за редким исключением). Та же ФСТЭК, пусть и не вполне оперативно,



выпускает новые требования к защите, вполне соответствующие реальным потребностям. ИБ-специалисты все чаще обращаются к теме бизнес-ори-ентации кибербезопасности, ища осно-вания для своей деятельности не только в борьбе с угрозами или выполнении тре-бований законодательства, но и в пони-мании бизнес-стратегии и попытках увязать с нею всю ИБ-активность. На рынке еще присутствуют игроки, которые рассматривают ИБ как кара-тельную функцию и предлагают без-опасникам провоцировать сотрудников на преступления (например, на кражу информации), а эффективность своих продуктов оценивают числом уволен-ных работников, но такие аморальные компании-анахронизмы скоро будут выдавлены с нашего рынка.

Чего ожидать в 2018 г.

А чего нам ждать от года желтой земля-ной собаки? Я бы выделил три набора ожидаемых тенденций.

Первый – продолжится идолопоклон-ство перед регуляторикой и желание не заниматься реальной безопасностью, а выполнять нормативные требования. Новые направления регулирования (ФЗ-187 о безопасности критической инфраструктуры и требования Банка России) этому будут только способ-ствовать. И хотя даже они могут быть правильно истолкованы и направлены на благо кибербезопасности российских предприятий, многие станут перестра-ховываться и исходить из принципа «как бы чего не вышло», по максимуму реа-лизуя требования новых нормативных актов. Каких-то новых законов и ветвей регулирования в 2018 г. я не жду – успеть бы выполнить то, что уже есть.

Второй набор тенденций проистекает из принятого Россией курса на цифро-вой суверенитет. А если еще и новая порция американских санкций как-то затронет ИТ/ИБ-сферу, то этот курс лишь

усилится (обвинения в адрес русских хакеров, кстати, тоже будут множиться). Правда, на фоне трудностей, которые подстерегают российских ИБ-новичков, далеко не все смогут воспользоваться преференциями, даруемыми импорто-запрещением.

Определенная надежда остается на про-грамму «Цифровая экономика», которая нацелена на то, чтобы слезть с нефтя-ной иглы и сельского хозяйства и начать зарабатывать на инновациях и информа-ционных технологиях (особенно на фоне запретительных мер по использованию зарубежных ИТ). Однако я достаточно скептичен к этой программе, видя, как она реализуется и что творится за ее кулисами.

Третий набор дает надежду на то, что к нам придут все новомодные запад-ные или восточные технологии, вос-требованные международным рынком под влиянием мировых тенденций. Это облачные ИБ-технологии, модель Security-as-a-Service, активное использование машинного обучения и иных продвину-тых аналитических методов обнаружения киберврагов, динамическая безопасность (в противовес статической), интеграция, оркестрация и бОльшая автоматизация ИБ-решений, уход от предотвращения к реагированию, мониторинг аномалий и зашифрованного трафика, использо-вание Big Data, смешанное управление (облачное и локальное), компьютерная криминалистика, интеграция SecOps и DevOps, решения по симуляции атак и возврату обманных технологий.

Все эти термины активно упоминаются ведущими западных конференций и выста-вок, но почти не звучат в России. Остается надеяться, что данные технологии тоже нач-нут у нас использоваться и что, несмотря на сохранение молчания по поводу оных в приказах регуляторов, отечественные разработчики смогут создавать решения с их поддержкой. Если, конечно, в условиях цифрового изоляционизма такие решения окажутся востребованными.


10

ИБ и

биз

нес

Безопасность 4.0

Мы живем в эпоху Четвертой индустриальной революции

и наблюдаем массовое внедрение киберфизических

систем в производство. Цифровизация экономики,

Интернет вещей и распределенные вычисления стали

обычными темами обсуждений, соответствующие

разработки внедряются в бизнес-технологии. Индустрия

4.0 не просто так получила отдельный порядковый

номер. При этом новые технологии меняют саму логику

производства и устройства бизнеса, обеспечивая ранее

недоступную эффективность. Попробуем взглянуть на

данную трансформацию с точки зрения ИБ.

Дмитрий Мананников бизнес-консультант по безопасности, эксперт BISA



Ключевые изменения

В первую очередь, к изменениям, свя-занным со сменой индустриальных эпох, относится цифровизация. Бизнес выпу-скает все больше и больше продуктов, не имеющих какого-либо физического воплощения, т.е. условно «виртуальных». И если с собственно цифровыми продук-тами пока еще конкурируют привычные нам товары, то в случае с процессами производства уже вполне однозначно можно констатировать победу цифро-визации. На данный момент практически все бизнес-процессы, все зависимости от направления или объема бизнеса, оцифрованы. Они существуют в рамках ИТ-инфраструктуры, систем и сервисов.

Следующий момент – это высокий темп развития самих технологий, причем огромное их количество служит лишь для создания других технологий. Немало технологий, едва появившись на свет, умирают прежде, чем человек успевает их нормально опробовать, определить их возможности и выявить присущие им ошибки. И многие из таких ошибок (например, связанных с нарушениями логики, использованием сторонних эле-ментов, некачественным тестированием) возникают именно из-за неимоверной скорости создания технологий.

Наконец, происходит трансформация безопасности из свойства или состо-яния в часть продукта или процесса. Это – прямое следствие из первых двух ключевых изменений. Темпы развития технологий, которые обуславливают осо-бенности разработки цифровых про-дуктов и процессов, порождают экспо-ненциальный рост числа и значимости инцидентов. Растут операционные и репутационные риски. Потери в рамках цифровых процессов становятся посто-янным фактором, который необходимо учитывать в экономической модели биз-неса. Эти ключевые изменения в рамках смены индустриальных эпох влияют на безопасность как на бизнес-функцию.

Так готова ли индустрия безопасности к новым вызовам? К сожалению, прихо-дится сделать вывод, что пока не готова.

Старые подходы в новых условиях

Нынешние системы обеспечения без-опасности сосредоточены на защите какой-либо локальной системы, сервиса или узла сети. Другими словами, они нацелены не на защиту цифрового про-дукта или процесса в целом, а на уровень компонентов, причем работают такие системы с разной степенью эффектив-ности.

При этом разрыв между технологиями, применяемыми в бизнесе, и технологи-ями защиты растет. В угоду эффективно-сти и скорости развития бизнеса новые технологии недостаточно тестируются. Производители систем безопасности занимают выжидательную позицию, не торопясь создавать новые системы без-опасности. Они прекрасно понимают, что вероятность отказа бизнеса от защища-емой технологии крайне высока.

Кроме того, возникают серьезные про-блемы в связи с эксплуатацией про-цессов и продуктов, далеко не свобод-ных от логических ошибок. Ущерб для бизнеса становится результатом вполне легитимных действий пользователя, а не следствием взлома или очевидной эксплуатации уязвимости. Ныне действу-ющие системы безопасности попросту не способны выявлять подобные инци-денты, поскольку какие-либо правила не нарушаются. Одним из ярких при-меров является вывод из крупнейшего краудфаундингового проекта The Dao криптовалюты в эквиваленте 50 млн долл. абсолютно легитимным способом, с помощью автоматической генерации новых дочерних контрактов.

Итак, можно резюмировать: старые под-ходы к обеспечению безопасности уже не работают в рамках кардинально транс-формированного (т.е. цифрового) про-


12

ИБ и

биз

нес изводства. Какие же изменения должны

произойти в сфере обеспечения без-опасности, чтобы она смогла адекватно отвечать на новые вызовы?

Безопасность как иммунитет

На мой взгляд, основные изменения должны произойти в двух направлениях: это комплексный подход и предиктив-ность. Звучит просто и отчасти привычно, но попробуем рассмотреть этот тезис немного глубже.

Конечно, комплексный подход к безопас-ности вряд ли можно назвать новатор-ским. Этой парадигме защиты столько же лет, сколько безопасности как сфере деятельности. Однако при изменении объекта защиты (а сейчас мы говорим о защите именно цифровых продуктов и бизнес-процессов) меняется и пред-ставление о комплексности. Теперь мы вынуждены признать, что недостаточно защищать отдельные узлы продукта или процесса, – необходимо воспринимать его целиком, как единый объект защиты.

Но как это сделать, если бизнес-процесс представляет собой логическую форму,

технологически состоящую из набора транзакций и событий в произвольном парке информационных систем и сер-висов? Решение дают те же технологии, которые обязывают нас трансформиро-ваться. Big data как агрегатор событий из разнородных источников позволяет увидеть логическую сущность продукта или процесса как единую модель. Именно это и есть отображение объекта защиты. Фактически, мы получаем информаци-онную модель нашей бизнес-логики.

Термин «предиктивность» (от англ. рredictive – прогностический), означа-ющий способность системы выявлять инцидент на стадии формирования и блокировать его реализацию, тоже далек от новизны. Именно на прогнозировании, основанном на анализе предыдущего опыта инцидентов, и базируется сиг-натурный анализ. Однако возможен он лишь тогда, когда у нас есть этот самый предыдущий опыт, позволяющий соз-дать и описать сигнатуру (или паттерн) инцидента.

Одним из новых вызовов является невозможность получения этого опыта. Какие-то системы/технологии могут быть



разрушены в результате первого же про-явления проблемы, а какие-то – выдер-жать даже пару значительных инциден-тов, но погибнуть в гонке технологий… Поскольку технологий становится все больше, растет уникальность их при-менения и уникальность инцидентов, а значит, пропадает возможность полу-чения релевантного опыта определения последних. Кроме того, добавляется фактор потерь, сопоставимых со сто-имостью бизнеса. И он не готов стать участником инцидента стоимостью 50млн долл., чтобы безопасность научилась купировать аналогичные случаи.

Итак, рассуждая о необходимой пре-диктивности новых систем защиты, мы говорим о возможности таких систем определять инцидент, ранее никогда не происходивший, предсказывать любое негативное событие вне зависимости от прошлого отрицательного опыта. Зву-чит несколько фантастически? Согласен. Однако, вернувшись к возможностям комплексного подхода, можно увидеть одну из ключевых закономерностей. Любой цифровой продукт или бизнес-процесс обладает определенным при-знаком – однозначной логической связью, которая описывает последовательность и критерии событий, существующих в его рамках. То, что мы описываем при соз-дании продукта/процесса (регламенты, инструкции или технические задания), – не более чем вербализация этой логической связи. И мы всегда можем однозначно идентифицировать на уровне информа-ционной модели как точки ее совпадения с логикой процесса, так и всевозможные отклонения.

Безусловно, следует задать определенный предел погрешностей (нормализовать) с учетом человеческого и прочих факторов, влияющих на отклонения от идеальной модели. Но все события, выходящие за рамки этого предела погрешностей, будут категоризированы системой как инци-денты бизнес-логики. И хотя далеко не все отклонения от логики процесса окажутся

следствиями чьего-либо злого умысла, с точки зрения бизнеса любое из них означает изменение параметров бизнес-процесса, а значит, потерю ресурса или качества. Можно выстраивать нормали-зованные модели и объектов (цифровые продукты – документ, контракт, код), и процессов их создания, и даже ролей пользователей, а потом реагировать на каждое отклонение от бизнес-логики.

Функционирование такой системы защиты отчасти похоже на работу иммунитета человеческого организма. Что немало-важно, данный подход позволяет авто-матически трансформировать паттерн «нормализации» процесса при изменении его логики (которое происходит посто-янно). Поскольку при изменениях логики одновременно меняется большая часть последовательностей, система начинает реагировать на отклонения уже от новой модели.

Результативность работы подобных систем защиты не зависит от динамики изменения технологий в рамках про-цесса, информационного ландшафта или квалификаций офицеров безопас-ности. И хотя на нынешнем этапе будет более правильно говорить, в первую оче-редь, о методологическом продукте, а не о «магической коробке», можно не сомневаться, что вскоре такие системы появятся на рынке и в виде специализи-рованного программного обеспечения.

Наконец, отметим еще один важный аспект. Результатом реализации рас-смотренного подхода к обеспечению безопасности становится прямое влия-ние на ключевые бизнес-показатели. Мы уже упоминали о том, что безопасность перестала быть состоянием и перешла в формат части продукта или процесса. А это как раз и дает возможность напрямую влиять на выручку и себестоимость, стро-ить прозрачные модели экономической эффективности защиты и решать многие другие проблемы информационной без-опасности.


14

ИБ и

биз

нес

Еще лет 10 назад на вопрос «каковы цели ИБ в организации?»

обычно отвечали так: «обеспечение конфиденциальности,

целостности и доступности ее активов». При этом под

активами, в первую очередь, подразумевали информацию,

бизнес-процессы, информационные системы и сервисы,

персонал. Сейчас этот ответ хоть и остается правильным,

но воспринимается как слишком канонизированный,

сформулированный «по учебникам».

Мария Воронова руководитель направления консалтинга InfoWatch

ВЫСТРАИВАНИЕ ПРОЦЕССОВ ИБ ЗАДАЧИ И ПЕРСПЕКТИВЫ



Современные цели ИБ – обеспечение развития бизнеса, поддержка бизнес-стратегии за счет создания безопасных бизнес-процессов. Снижение рисков реализации ИБ-инцидентов в компании означает, что не допускается как прямой ущерб, связанный с хищением денежных средств или данных, так и косвенный ущерб, такой как имиджевые и репутаци-онные потери. Еще одна функция, кото-рую может взять на себя ИБ, – обеспе-чение контроля над бизнес-процессами для уменьшения операционных потерь организации. А глобальная цель – дать

бизнесу возможность зарабатывать за счет получения выгод, оптимизации ресурсов и возможных рисков.

Важно, чтобы ИБ не была «навесной», а стала частью бизнес-процессов. Такая степень погружения позволит наиболее полно понимать бизнес-специфику и обе-спечивать целевую защиту. Не слиш-ком верным решением будет защищать периметр, т.е. строить забор, не понимая что за ним находится, – какие системы, сервисы, процессы, данные и функци-ональные роли. Особенности бизнес-контента все больше определяют обе-спечение необходимого и достаточного уровня защиты.

Цели и процессы ИБ

Внедрение ИБ-процессов должно быть соизмеримо с целями. Есть бизнес-стра-тегия и понимание бизнес-цели, рассма-тривается какой-либо бизнес-процесс и совокупность оных. Затем разрабатыва-ются ИБ-цели – что нужно сделать для обе-спечения безопасного развития данного

бизнес-процесса. Под конкретные цели разрабатываются KPI (Key Performance Indicators, ключевые показатели эффек-тивности), для каждого из показателей формируются метрики и индикаторы эффективности – те критерии, по кото-рым в дальнейшем будет оцениваться «успешность» внедренного процесса, его полезность, эффективность. Далее нужно переходить к тактике – разраба-тывать план действий по формированию и реализации конкретного ИБ-процесса как части бизнес-процесса.

Таким образом, при формировании ИБ-целей необходимо точно понимать:

• что хочет бизнес;

• правильно ли ИБ понимает, что именно хочет бизнес;

• каковы конкретные шаги реализации (задачи);

• каковы критерии успеха – те самые KPI, метрики и мето-дики их измерения.

Когда речь заходит о любых процессах (в том числе ИБ), создаваемая и выстра-иваемая модель процесса обязательно должна отвечать на следующие вопросы: какая работа кем, когда, где, как и зачем выполняется? в соответствии с чем? в какие сроки и с какими ограничени-ями? куда передаются результаты? какой должна быть обратная связь по резуль-татам? Пример – процесс реагирова-ния на инциденты. Сотрудник первой линии поддержки получает новый алерт,

В КАЧЕСТВЕ ПРИМЕРА РАССМОТРИМ

ДОСТАТОЧНО ПОПУЛЯРНЫЙ ПРОЦЕСС

ЗАЩИТЫ ОТ ВНУТРЕННИХ УГРОЗ


16

ИБ и

биз

нес

анализирует (в соответствии с какими инструкциями? за какое время?), пере-дает инженеру поддержки (в соответствии с какими инструкциями? как – по почте, через систему управления инцидентами или иначе? нужно ли подтверждение о взятии в работу и обратное получение сотрудником какой-либо информации? в какие сроки?). В идеале корректно выстроенный процесс (его модель) дол-жен быть настолько детально прорабо-танным, чтобы давать ответы на все, даже не заданные вопросы.

Этапы внедрения ИБ-процесса

Выделим 4+1 концептуальных аспекта внедрения любого ИБ-процесса:

• продумывание идеи (создание модели процесса, получение ответов на все возможные вопросы, сты-ковка с уже имеющимися в орга-низации бизнес- и ИБ-процессами);

• выстраивание процесса на практике, его внедрение;

• функционирование процесса, его измерение и оценка эффективности;

• корректировка (при необходимости) и совершенствование процесса;

• дополнительный шаг – оценка уровня зрелости процесса.

В качестве примера рассмотрим доста-точно популярный процесс защиты от внутренних угроз и, как частный слу-чай, – защиту информации ограниченного доступа от утечек.

1. Идея

Определяем, каковы цель внедрения про-цесса, имеющиеся потребности и воз-можности реализации, частные задачи. Продумываем концепцию процесса, фор-мируем модель реализации. На этом этапе требуются исследования для выявления текущей «as is» ситуации в компании, опре-деления скоупа работ, нюансов и ограни-чений. Также, как правило, проводятся оценка и ранжирование рисков с целью выделения наиболее критичных областей, в первоочередном порядке требующих обеспечения должного уровня защиты. Применительно к процессу защиты от уте-чек результатом исследования должны стать следующие факты:



• знаем данные – понимаем, что и где хранится, как обрабаты-вается и перемещается, кто имеет доступ, что можно делать с данными, а что нет;

• понимаем ценность данных – вместе с бизнесом рассчитаны ценность данных и потенциальный ущерб от утечек;

• понимаем цели и задачи, реализу-емые в рамках процесса, метрики и методики измерения;

• понимаем ресурсы (внутренние и внешние), необходимые для реа-лизации процесса;

• понимаем, как процесс будет встроен в текущую деятельность организа-ции.

Отдельный момент – определение цен-ности, пользы процесса для бизнеса. Ее можно рассчитать, причем иногда это удается сделать в денежном эквиваленте.

В последнее время для вложения средств в ИБ все чаще требуются расчеты тех-нико-экономического обоснования (ТЭО). Внедрение новых ИБ-средств уже не явля-ется чем-то из серии «систему купили, установили, и она как-то работает». Очень часто поднимается вопрос эффективно-сти эксплуатации системы и получения каких-либо бенефитов – нужен реальный измеримый (желательно в финансовом эквиваленте) результат. Это может быть сокращение операционных издержек и/или ущерба благодаря предотвращению угроз (снижение рисков).

Расчет ТЭО, когда речь идет, например, о внедрении DLP – задача не тривиаль-ная, очень многое зависит от конкрет-ной отрасли. Для банков, страховых и ряда схожих отраслей задача эконо-мического обоснования решаема доста-точно успешно, а для других отраслей это – целое поле для проведения научных

исследований. Такие исследования стро-ятся, в первую очередь, на исчисляемых параметрах: отслеживаемый и измеря-емый отток клиентов в связи с утеч-ками, финансовый ущерб в результате мошеннических действий, отток клиентов, контрагентов и поставщиков из-за сра-батывания отрицательного имиджевого триггера. Другими словами, должно быть что-то измеримое, то, что можно посчитать количественно и оценить по стоимости.

2. Выстраивание и внедрение

процесса

При внедрении возникает задача пере-носа спроектированной модели процесса в реальную среду «as is», в конечном счете обеспечивающего целевое состояние «to be» (наши цели и KPI).

Применительно к процессу защиты от утечек можно выделить следующие подпроцессы, требующие реализации: анализ и категорирование информации (понимание ее типов в организации, разработка и актуализация критериев категорирования), оценка рисков утечки информации (выявление наиболее под-верженных утечкам областей), обеспече-ние настройки и корректировки системы мониторинга и контроля (используемых политик и технологий), выявление собы-тий с помощью системы мониторинга и контроля, работа с событиями (под-тверждаются или нет в качестве инци-дентов) и с инцидентами (расследование и принятие управленческих решений). Любой подпроцесс обязательно должен включать в себя методологию реализа-ции и технологическую составляющую, а также персонал и конкретно реализу-емые роли в рамках процесса.

Например, для реализации процесса защиты от утечек важно понимать кри-терии легитимной обработки информа-ции, что дает возможность качественно настроить систему мониторинга и кон-троля. Настройка осуществляется с помо-


18

ИБ и

биз

нес щью определенных технологий анализа

(чем их больше, тем точнее может быть результат). Результаты работы системы поступают к офицеру мониторинга без-опасности.

3. Контроль и измерение процесса

Как измерить эффективность работы процесса, по каким критериям?

Например, применительно к процессу защиты от утечек KPI могут быть:

• эксплуатационными – измеряем эффективность работы как время простоя (технологических окон и сбоев системы), которое должно составлять не более 5 ч в неделю;

• методологическими – определяем эффективность применяемых мето-дологий (не менее чем в 80% бизнес-процессов проведено категорирова-ние информации);

• смешанными, т.е. зависящими от тех-нологий и методологии, – такими как эффективность выявления инци-дентов (процент ложно-положитель-ных срабатываний, другие критерии полноты и точности срабатывания системы).

KPI могут относиться к отдельным под-процессам процесса:

• реагирование на инцидент – событие должно быть отработано в течение 3 ч после его выявления системой;

• работы по расследованию – инцидент должен быть расследован и доведен до уровня принятия управленческого решения в течение пяти рабочих дней после подтверждения в системе.

Важно понимать, что измерение эффектив-ности – это тоже процесс, поток действий. Он отвечает на такие вопросы: какова цель измерения, что, где, как и когда нужно изме-рять, с чем сравнивать, какие показатели определять, кто отвечает за измерения?

4. Корректировка/

совершенствование

После измерения эффективности функ-ционирования процесса формируются текущее понимание проблемных момен-тов, а также уровень процессной зрелости в целом. Например, невыполнение пара-метров KPI, связанных с реагированием на событие ИБ, может свидетельствовать об «узком горлышке» – нехватке специали-стов по анализу, недостаточной произво-дительности их труда или об избыточном потоке событий, генерируемых системой. В любом случае требуется дополнитель-ный контроль данной точки процесса для выявления проблем и разработки вариантов их решения (скажем, увели-чить штат или оптимизировать настройки системы). Важно, чтобы полученные при измерении результаты имели при-кладную процессную ценность и в даль-нейшем правильно интерпретировались. Тогда этот подход обеспечит должные корректировку, совершенствование и повышение эффективности процессов.



ИБ-навигатор для бизнеса

Как эволюционировал риск-менеджмент в сфере

информационной безопасности?

Какие проблемы возникали в процессе этой эволюции?

Чего нам ожидать от новой методологической модели

комплексного управления рисками и сможет ли ИБ стать

ключевой частью бизнеса? Обо всем этом и пойдет речь.

Илья Борисов менеджер по ИБ регионального кластера СНГ компании thyssenkrupp Industrial Solutions


20

ИБ и

биз

нес Одной из особенностей таксистов, зани-

мавшихся извозом во времена СССР, было великолепное знание их городов. Таксисты не только умели быстро дово-зить пассажиров из пункта А в пункт Б, но и были носителями огромного объема информации – например, о том, где можно купить дефицитные товары, куда отправиться отдохнуть, в какой гостинице остановиться…

Времена изменились. Навигаторы не просто вытеснили бумажные карты, но и стали привычными аксессуарами рядовых автолюбителей, помогающими прокладывать маршруты, находить удоб-ные парковки, соблюдать скоростной режим, избегать пробок и даже про-блем с камерами автоматической фик-сации нарушений ПДД. Можно сказать, что навигаторы возложили на свои плечи многие функции легендарных советских таксистов.

Управление рисками информационной безопасности, на мой взгляд, является таким же навигатором. И его эволюци-онное развитие поможет сделать еще один важный шаг – уже не навстречу требованиям бизнеса, а, наконец-то, вместе с бизнесом.

Прошлое

В сфере ИБ риск-менеджмент долгое время акцентировался на рисках, свя-занных исключительно с ИТ-сервисами и ИТ-инфраструктурой. Для того чтобы адаптировать этот подход к требованиям бизнеса, в набившей оскомину формуле «Риск = Вероятность x Ущерб» послед-ний множитель заменили на «Влияние» и привязали к отдельному процессу оценки влияния на бизнес-деятельность (Business Impact Analysis). Именно эта концепция риск-менеджмента получила наиболее широкое распространение, и именно она больше всего подвергается критике: удается получать лишь весьма поверхностную оценку, зачастую осно-ванную исключительно на экспертном мнении, а определять реальные эко-

номические результаты очень сложно.

Существенную роль в эволюции риск-менеджмента в сфере ИБ сыграли скан-дал с компанией Enron и последовавшее в 2002 г. принятие акта Сарбейнза—Оксли (Sarbanes-Oxley Act, SOX). След-ствием этих событий стала реализация более жесткой политики, связанной с корпоративной отчетностью, ауди-том и работой с регуляторами. Новая методология, призванная кардинально изменить подход к деятельности пред-приятий на основе давно известных, но не слишком хорошо работавших принципов, получила название GRC (Governance – корпоративное управ-ление; Risk management – управление рисками; Compliance – соответствие тре-бованиям). Предполагалось, что внедре-ние GRC поможет компаниям не только выполнять нормативные требования, но и сделать внутренние процессы более эффективными. Однако в реальности

Digital Risk Management (DRM)

Vendor Risk Management (VRM)

Business Continuty Management (BCM)

Audit Management (AM)

Audit Management (AM)

Corporate Compliance & Overight (CCO)



предприятия столкнулись с проблемами при первичном размещении акций (IPO) на Нью-Йоркской фондовой бирже (NYSE) и даже с необходимостью делистинга с NYSE из-за сложности, избыточности и дороговизны реализации требований SOX. Особенно тяжелым бременем их выполнение стало для компаний сред-него размера.

В результате GRC получила сильный крен в сторону соответствия требованиям, что перечеркнуло многие позитивные идеи, изначально заложенные в эту мето-дологию. Более того, комплексное вне-дрение GRC оказалось для множества компаний крайне сложной, а зачастую и непосильной задачей. Впоследствии GRC удалось успешно адаптировать к более узким областям бизнес-деятель-ности, и так появились на свет IT GRC и Security GRC.

Настоящее

GRC-методология, несмотря на регу-лярное обновление ее версий (GRC -> GRC 1.0 -> GRC 2.0 -> GRC 3.0), в глазах бизнеса по-прежнему четко ассоцииру-ется с необходимостью соответствия регуляторным требованиям. А нише-вые решения, такие как Security GRC, имеют серьезный технологический уклон и даже с учетом высокой успешности внедрений в рамках отдельных задач не удовлетворяют потребностей биз-неса в формировании интегрирован-ной управленческой среды. Поэтому не случайным стало решение компании Gartner заменить GRC отдельным клас-сом решений, базирующихся на новой методологической модели комплексного управления рисками – IRM (Integrated Risk Management).

Идея объединить в единую концепцию методолого-технологический набор, показанный на рисунке, безусловно, кажется привлекательной. Очевидно, что для такого объединения требуется достижение определенного уровня зре-лости и самими процессами, и менед-

жментом компании. Для подавляющего большинства предприятий это – не шаг на одну ступеньку вверх, а прыжок сразу на два-три этажа. Однако пры-жок необходим, поскольку нынешний перекос в сторону технологий в триаде «Люди – Процессы – Технологии» должен быть устранен.

Будущее

В последнее время на рынке информа-ционной безопасности появилось мно-жество решений, основанных на тех-нологиях обработки больших данных, искусственного интеллекта, машинного и глубокого обучения, предиктивной аналитики. При этом общий уровень риска для организаций, как и затраты на обеспечение ИБ не демонстрируют заметного снижения.

В новой парадигме ведения бизнеса неизбежна необходимость встраива-ния информационной безопасности не в нишевые технологические решения, а напрямую в бизнес-процессы компа-нии. Это даст возможность менеджменту оценивать эффективность тех или иных вложений. Все виды ИБ-рисков, включая технологические, будут рассматриваться в контексте основных бизнес-процессов.

Очевидна и необходимость в обеспече-нии проактивной деятельности, т.е. риски и угрозы должны минимизироваться еще до наступления негативных последствий и преимущественно в автоматизиро-ванном режиме. Для выполнения этой задачи в рамках используемых методик оценки рисков понадобится задейство-вать огромное количество источников данных, обрабатывать их в режиме реального времени и самостоятельно обнаруживать слабости защиты. Начало такого процесса мы можем наблюдать уже сейчас. Банки и страховые компании заявили, что в ближайшем будущем суще-ствующие скоринговые системы станут привлекать общедоступную информацию о клиентах из социальных сетей. Deep Web и Dark Web станут важнейшими


22

ИБ и

биз

нес источниками информации для оценки

рисков благодаря объему и специфике аккумулируемых в них данных.

Принципиальная невозможность пре-дотвращения всех «поголовно» взломов и утечек ведет к тому, что потребуются не только переосмысление имеющихся средств защиты и процедур реагиро-вания на инциденты, но и выработка новых процессов минимизации ущерба для бизнеса. К ним можно отнести сле-дующие:

• коммуникации с клиентами, пар-тнерами и регуляторами для пред-упреждения об инцидентах и их последствиях;

• взаимодействие с отраслевыми /корпоративными/национальными центрами и командами/центрами реагирования на инциденты (CERT);

• привлечение к работе юридических консультантов на ранних стадиях;

• работа в публичном поле и с масс-медиа.

Несмотря на то, что облачные техноло-гии достаточно давно и прочно вошли в жизнь большинства компаний, про-блемы с безопасностью их использо-вания по-прежнему не решены. И если сама инфраструктура облачных провай-деров защищена достаточно качественно и обеспечивает высокий уровень доступ-ности сервиса, то контроль над пере-даваемыми данными и используемыми приложениями все еще недостаточно хорош. Безусловно, это тоже найдет отражение в моделях угроз и рисков.

Соответствие регуляторным требова-ниям вновь окажется одним из главных рисков и драйверов рынка информаци-онной безопасности. GDPR, возможно, – самый известный пример, но далеко не единственный. Законодательство исторически несколько отставало от раз-вития технологий, но сейчас этот разрыв стремительно нивелируется. В число основных трендов войдут экстеррито-

риальность требований регуляторов, необходимость отслеживать огромное количество нормативно-правовых актов в области обеспечения безопасности (сейчас их во всем мире около 700, и постоянно появляются новые) и сво-евременно реагировать на изменения в правовом поле.

Менеджерам по информационной без-опасности также придется адаптиро-ваться к новым вызовам. В дополнение к постоянно востребованным знаниям нормативных документов и технологий потребуется глубокое понимание прин-ципов функционирования бизнеса. Если сейчас такие навыки расцениваются работодателем лишь как конкурентное преимущество кандидата, то уже в бли-жайшие годы они станут обязательными для всех соискателей должностей.

Вместо заключения

Ритм жизни и ритм бизнеса постоянно ускоряются на волне всеобщей диджи-тализации. И задача информационной безопасности заключается в том, чтобы помочь бизнесу быть устойчивым, управ-ляемым и эффективным.

Последнее весьма важно, так как, несмо-тря на желание или нежелание отдельных стран и чиновников, рынки диффузируют и становятся все более конкурентными. Те компании, которые сумеют бороться с издержками, уверенно предвидеть и объезжать «пробки», снижая скорость там, где это необходимо, окажутся в числе лидеров. А остальных ожидает незавид-ная участь – глотать пыль на обочине.

Информационная безопасность ста-новится ключевой частью бизнеса, как ранее это произошло с ИТ, и если ИТ – по-прежнему двигатель, то ИБ – уже не только тормоза, но и навигатор. И с его картами, маршрутами и алго-ритмами определения пробок предстоит еще много работы, которая роботам пока не по плечу.



Изучая годовые данные о нарушениях конфиденциальной

информации, сотрудники аналитического цента InfoWatch

пришли к шокирующему выводу: почти три четверти данных

во всем мире утекло из сферы ИТ. Перед злоумышленниками

спасовали десятки гигантов высокотехнологичной

индустрии, потеряв миллиарды «чувствительных» записей.

Это побудило нас рассмотреть полученную статистику под

разными углами зрения.

Андрей Арсентьев аналитик компании InfoWatch

Лавина хайтек Сколько информации утекло из ИТ-компаний


24

ИБ и

биз

нес Ресурсом для наших аналитических отче-

тов служат публичные сообщения о фак-тах утечек информации из коммерческих и государственных компаний. Каждый попавший в базу кейс классифицируется по ряду параметров, таких как размер организации, сфера деятельности, канал и тип утечки (умышленная или случайная), тип данных и т.д. При этом, на наш взгляд, достоянием общественности становится лишь незначительная часть инциден-тов (скорее всего, менее 1%), но анализ даже этой «верхушки айсберга» позво-ляет выявить основные закономерности и спрогнозировать тенденции.

Под прицелом – гиганты

В 2016 г. мы зафиксировали 231 случай утечек конфиденциальной информации из компаний, представляющих отраслевую группу «Высокие технологии» (произво-дители программного и аппаратного обе-спечения, операторы связи, Интернет-про-вайдеры, поисковые системы, социальные сети, ИТ-сервисы и т.д.). Это на 26,9% больше, чем годом ранее. А главное – многократно, более чем в 8 раз, вырос объем скомпрометированной информа-ции. В результате действий внешних зло-умышленников и внутренних нарушителей потеряно около 2,3 млрд записей.

Прошлый год стал периодом массовых хакерских атак на социальные сети

и ИТ-сервисы. В результате внешних воздействий похищены данные сотен миллионов пользователей таких ресур-сов, как Facebook, Foursquare, GitHub, iCloud, LinkedIn, MySpace, Snapchat, Telegram, Tumblr, Twitter, Yahoo. Кроме того, хакеры успешно атаковали круп-нейшие почтовые сервисы Google (Gmail), Mail.ru, Microsoft (Hotmail), Yahoo. Доста-лось и телекоммуникационным компа-ниям: были похищены данные клиен-тов Deutsche Telekom, Three UK, Verizon и других операторов.

Распределение утечек из высокотехнологичных компаний по типам информации, 2015–2016 гг.

число утечек

Число утечек информации и объем ПДн, скомпрометиро-ванных в высоко-технологичных компаниях, 2015–2016 гг.

кол-во утекших данных (млн)

282

182

2293

231

2015 2016

Персональные данные

Персональные данные

Платежныеданные

Платежныеданные

Коммерческаятайна ноу-хау

Коммерческаятайна ноу-хау

2015

29,2%

8,4%

70,3%

2016

9,1%

3,9%

70,8%



Взрывной рост объема утечек на фоне относительно небольшого увеличения их числа свидетельствует о повышен-ном внимании злоумышленников, пре-жде всего организованных преступных групп, к обладателям больших баз дан-ных. Ценность информации в цифровую эпоху постоянно возрастает, а крупные клиентоориентированные ИТ-компании и операторы связи – это прямо-таки кла-дезь персональных данных.

Лакомый кусок

Всплеск числа инцидентов, в рамках кото-рых основными объектами были персо-нальные данные, подтверждает высокую ликвидность такой информации на черном рынке. При этом охотятся за ней как внеш-ние злоумышленники, так и внутренние нарушители. Обострение проблемы уте-чек ПДн говорит о недостаточном уровне защиты информации многими высоко-технологичными компаниями.

Персональные данные — лакомый кусок для злоумышленников. Эта информация характеризуется высокой ликвидностью на черном рынке, так как легко моне-тизируется. Личные данные востребо-ваны не только рекламными агентами и поставщиками услуг, они все чаще используются для совершения финансо-вых преступлений и «кражи личности» — получения материальной выгоды за счет использования чужой информации.

В секторе «Высокие технологии» в 2016 г. объем данных, скомпрометированных умышленно, рос опережающими темпами по сравнению с непреднамеренными слу-чаями компрометации. При этом в других отраслях наблюдалась противоположная картина: значительно чаще информация стала утекать в результате случайных действий (сотрудник ошибочно отправил базу данных третьим лицам, системный администратор неверно настроил сер-вер и т.д.).

Распределение утечек в высокотехнологичных компаниях по векторам воздействия, 2015–2016 гг.

Распределение внутренних утечек по умышленности-неумышленности, 2015–2016 гг.

53,7

%

46,3

%

59,7

%

40,3

%

2015 2016

Внутренний нарушитель

Внешниеатаки

Внешниеатаки

Внутренний нарушитель

87%

13%

60%

40%

2015 2016

Случайные

Случайные

Умышленные

Умышленные


26

ИБ и

биз

нес Особенно тревожный симптом – рост

доли умышленных утечек по вине сотруд-ников компаний. Это может свидетель-ствовать о том, что в них намеренно про-никают люди, целью которых является добыча ПДн и другой востребованной на черном рынке информации.

Для высокотехнологичных компаний информация, в том числе клиентская, является ключевым активом, поэтому любая ее утечка весьма чувствительна для бизнеса. По результатам исследо-вания Ponemon Institute и IBM, сред-ний ущерб телекоммуникационных и ИТ-компаний в расчете на одну потерян-ную или украденную запись составляет, соответственно, 150 и 165 долл., что выше среднего показателя по всем отраслям. Таким образом, любая массовая утечка почти наверняка означает многомилли-онный ущерб. И это – без учета негатив-ного влияния на репутацию предприятий, т.е. на тот актив, который можно скрупу-лезно собирать долгие годы, а растерять за один день.

О масштабах косвенных финансовых потерь от компрометации данных можно судить на примере Yahoo: из-за появив-

шейся на рынке информации о массовых утечках в компании ее владельцы недо-получили 350 млн долл.

Что нас ожидает

Мы ожидаем, что в ближайшие годы влияние внешних нарушителей в ИТ- и телекоммуникационных компаниях будет продолжать расти. То, насколько эффективным окажется противодействие деструктивным силам, зависит от скорости принятия решений по совершенствованию средств информационной безопасности, в том числе от своевременного выделения бюджетов на внедрение решений, адек-ватных существующим угрозам.

Также стоит уделять самое пристальное внимание внутренним факторам. Нахо-дящегося внутри периметра нарушителя очень сложно вычислить без DLP-систем, поэтому компании, не обладающие совре-менными средствами противодействия инсайдерам, очень сильно рискуют. ИТ-сфера как локомотив цифровой эконо-мики может резко снизить эффективность своей работы, если не будет обеспечена надежная защита от потерь конфиденци-альной информации.

Доли инцидентов по их типам, 2015–2016 гг.

Неквалифицированная утечка

Мошенничество с использованием данных

Превышение прав доступа

Пр

едпр

ияти

я из

дру

гих

отр

асле

йВ

ысо

коте

хнол

огич

ные

ком

пани

и

2015 2016

83%

8,5%

8,5%

73,5

%

12%

10,3

%

15,3

%

10,5

%

74,2

%

76,2

%

14,5

%13

,5%


ИБ-практика

Осторожно, низкая облачность!

Использование IaaS-, PaaS- и SaaS-сервисов позволяет

экономить деньги и время компаний. Практически каждый

из официально и неофициально используемых внешних

сервисов организационно и технически становится частью

их ИТ-инфраструктур. При этом внешние сервисы не всегда

попадают в рамки процессов мониторинга и управления,

а зачастую даже уходят из зоны видимости ИТ- и ИБ-

команд. Эту ситуацию принято описывать как появление

в организации Shadow IT-инфраструктуры.

Виктор Ивановский менеджер по развитию бизнеса Solar Security


28

ИБ-п

ракт

ика Чтобы не заплутать в облаках

История знает множество случаев неудачного завершения полетов летательных аппаратов в связи с плохой погодой. И большой вклад в печальную статистику внесла низкая облачность, значительно затруднившая навигацию и не позволив-шая успешно совершить посадку. Опыта экипажа и технических возможностей самолета не хватило для того, чтобы точно определить положение воздушного судна в пространстве, а в результате холмы, леса или посадочная полоса появи-лись перед взором команды слишком поздно для того, чтобы предпринять тот или иной маневр.

С облачными сервисами все обстоит абсолютно так же. Бизнес-руководители закономерно сидят в удобных креслах бизнес-класса и пользуются всеми пре-имуществами, которые предоставляет им текущая ситуация. Быстрая скорость изменений, стабильная высота, прогнозируемое время прибытия в точку назначе-ния... А ИТ-команда работает, не покладая рук, чтобы достигнуть этих результатов. В том числе использует попутные течения и лавирует между облаками, обеспечивая увеличение скорости самолета.

Но даже от самой профессиональной команды может ускользнуть тот момент, в который ИТ-инфраструктура и сам бизнес заплутают в облаках и окажутся слишком близко к земле. Утечки информации в облачные сервисы, размывание границ между внутренними и облачными ИТ-службами, активное продвижение в сторону гибридных облаков – все это влечет за собой вполне реальные риски. И они могут привести если не к катастрофе, то, как минимум, к серьезным послед-ствиям и замедлению скорости работы бизнес-машины.

Что с этим делать, в общем-то, понятно. Обеспечение видимости в условиях густой облачности – это то, чего не хватает ИТ-, ИБ-, да и бизнес-командам. Нужно отсле-живать скорость изменений, потребление облачных сервисов, их количество – эти параметры могут дать четкую картину актуальности упомянутых и других рисков.

Не торопитесь с выводами

Вы скажете, что в этой исто-рии речь идет не о вашей ком-пании? Что облака в России еще не настолько распространены, чтобы обо всем этом задумываться? Не торопитесь с выводами.

Перед проходившим осенью BIS Summit 2017 мы зарегистрировали домен shadow-it.ru, и на него был «приземлен» опрос об актуальности облачных сервисов и технологий в России. Мой доклад на BIS Summit 2017, называвшийся «За периме-тром все ИТ – Shadow», был нацелен на проверку того, как восприни-мают облачные сервисы предста-вители сообщества специалистов



по информационной безопасности и информационным технологиям. Коллегам был представлен для рассмотрения следующий тезис. На современном этапе развития бизнеса физически невозможно совместить защиту периметра (замковую модель безопасности) и скорость бизнес-изменений. Каждую амбициозную задачу необ-ходимо решать здесь и сейчас, поскольку потенциальная выгода от ее решения весьма высока, а в результате ИТ и бизнес, скрипя зубами, выводят эту задачу за пределы защищенного периметра ИБ.

Первые два вопроса из размещенных на упомянутом домене были именно об этом. А теперь посмотрим, как специалисты ответили на них и другие вопросы.

Результаты опроса

Согласны ли вы с тем, что у каждого ИТ-ресурса организации должен быть внутренний владелец?

Согласны ли вы с тем, что облачный SaaS-сервис – такой же ИТ-ресурс, как внутренняя система ИТ?

Как мы видим, больше половины опрошенных считают, что у каждого облач-ного сервиса, используемого организацией, должен быть внутренний владелец. Уже неплохо!

Какие облачные приложения, по вашему мнению, используют сотрудники вашей организации (TOP-5 результатов)?

1 59%

41%2

Да

Нет

1 93%

7%2

Да

Нет

1 71%

66%

50%

45%

45%

2

3

4

5

Яндекс Диск

DropBox

Microsoft OneDrive

Google Suite

Облако Mail.ru


30

ИБ-п

ракт

ика

1 70%

30%2

Да

Нет

Значит, по мнению ИБ-специалистов, более половины сотрудников их компаний пользуются DropBox. А дальше становится еще интереснее.

Как вы считаете, сколько облачных сервисов используют сотрудники вашей компании ОФИЦИАЛЬНО?

Как вы считаете, сколько облачных сервисов используют ваши сотрудники НЕОФИЦИАЛЬНО?

Итак, ИБ-специалисты признают, что даже если организации стараются ограничить или запретить использование облачных сервисов в своих инфраструктурах, их сотрудники не просто будут, но уже используют облака в своей офисной работе. Означает ли это, что запрещать бесполезно? Ни в коем случае. Статистика сви-детельствует о том же, о чем говорят ибешникам их сердца, опыт и просто чутье: проблема есть, и решать ее надо, вот только как именно – понятно пока не всем.

Есть ли необходимость решать проблему с Shadow IT- сервисами в вашей организации?

Знаете ли вы, как решать проблему с Shadow IT?

1 79%

4%

7%

10%

2

3

4

Меньше 10

от 10 до 20

Больше 20

Не представляю

1 49%

23%

14%

13%

2

3

4

Меньше 10

от 10 до 20

Больше 20

Не представляю

5

2

х

х

1 48%

30%

23%

2

3

Нет, не знаю

Да, используя имеющиеся в организации программно-технические средства

Да, используя предполагаемые программно- технические средства, которых пока нет в организации



Понятно, что могут найтись люди, как согласные с результатами нашего опроса, так и принимающие их в штыки. И такая разница мнений очень продуктивна, ведь именно в спорах и диалогах рождается истина. Не держите ваше мнение при себе – зайдите на shadow-it.ru и поделитесь им всего за 2 мин 40 с, которые, по нашей статистике, в среднем требуются для ответов на все вопросы!

Довод, стимулирующий вас это сделать, – очень простой. Все мы уже сидим в само-лете, стремительно летящем сквозь грозовые, перистые и кучевые облака SaaS, PaaS и IaaS. При этом большинство членов ИТ- и ИБ-сообщества находятся не в биз-нес- или эконом-классе, а в кабине пилота, и, значит, они вполне могут влиять на управление процессом лавирования между облаками сервисов и технологий.


32

ИБ-п

ракт

ика

Как ни странно, Shadow IT может повышать

производительность труда и даже превращаться в часть

бизнеса. Сотрудники компаний используют облачные

ресурсы для совместной работы, обмена информацией,

удаленного доступа к документам, но это не всегда

происходит с ведома руководителей и ИБ-специалистов. А

с точки зрения безопасности Shadow IT представляет собой

угрозу, поскольку конфиденциальные корпоративные данные

бесконтрольно покидают периметр компании.

Дарья Орешкина директор по развитию бизнеса Web Control

Shadow IT в вашей сети



Shadow IT – это сторонние ИТ-решения, в том числе облачные приложения и услуги, неподконтрольные корпоративному ИТ-департаменту. Облачные решения, пред-ставляющие собой большую часть Shadow IT, могут замещать какую-либо функцию сотрудника или целое подразделение, становиться частью услуг предприятия. Статистика реального использования облачных решений в корпоративном секторе поражает: это сотни решений, а не десятки, как полагают многие специалисты по ИТ и ИБ. Однако с точки зрения безопасности облачные приложения и сервисы представляют собой «слепое пятно».

Выявляем, собираем и консолидируем

Каждой компании необходимо выявить и проанализировать использование Shadow IT в корпоративной среде. В первую очередь, требуется следующее:

• обнаружить Shadow IT и понять, кем, куда и зачем передаются корпоратив-ные данные;

• оценить риск, которому подвергает компанию Shadow IT, с учетом требова-ний регуляторов;

• собрать информацию для принятия решения о запрете или принятии исполь-зуемых облачных решений;

• консолидировать информацию о потребностях бизнес-подразделений в сто-ронних решениях.

Обнаружение Shadow IT. Журналы прокси-сервера, межсетевого экрана и других компонентов ИТ содержат всю необходимую информацию для выявления облач-ных решений, используемых в компании. Проанализировать эти журналы можно с помощью решений класса Cloud Access Security Broker (CASB) или специализиро-ванных модулей сетевого оборудования, таких как Secure Web Gateway или NGFW. Результаты будут интересны ИТ- и ИБ-специалистам, лицам, принимающим решения.

Идентификация облачных приложений и сервисов с высоким риском. Риски облачных решений оцениваются по множеству параметров безопасности. Часть из них – одинакова для всех компаний (например, надежность аутентификации на портале облачного решения), а часть важна для конкретной компании (напри-мер, геолокация хранилища данных). Кроме того, нужно выявить сотрудников, которые используют небезопасные облачные сервисы, чтобы помочь им выбрать альтернативные решения. Зачастую сотрудники используют Shadow IT для повы-шения производительности труда или из-за наличия бизнес-потребности (например, в оперативном обмене большими файлами), поэтому запрет облаков без пред-ложения альтернативы – не лучшее решение для самой компании: в современной конкурентной борьбе гибкость и скорость имеют решающее значение.

Консолидация информации об используемых бизнес-подразделениями облачных решениях. В ходе анализа и сравнения облачных сервисов, востребованных биз-нес-подразделениями, формируются обоснования и рекомендации для унификации решений. Унификация поможет компании снизить затраты и упростить контроль над применяемыми решениями.

Сбор информации для принятия решения об облачных приложениях и сервисах. Взаимодействие с бизнес-подразделениями и пользователями позволит получить полное представление о требованиях, которые они предъявляют к ИТ-решениям.


34

ИБ-п

ракт

ика Облачные приложения и сервисы для корпоративного использования должны

не только обеспечивать полезные возможности, но и быть надежными, защищен-ными. Слаженная работа бизнес-подразделений и специалистов по ИТ и ИБ поможет добиться большей гибкости бизнес-процессов и оптимизации затрат.

Анализируем, выбираем и планируем

Для снижения доли рискованного облачного трафика и оптимизации процесса обнаружения Shadow IT лучше интегрировать CASB-решение с прокси-сервером. Комплексное решение позволит наиболее качественно проанализировать исполь-зуемые в компании неочевидные ресурсы, ответив на такие вопросы:

• каковы требования к бизнес-функциям и производительности, определенные пользователями и бизнес-подразделениями;

• каковы риски для компании при принятии облачных решений с учетом тре-бований регуляторов?

• какие приложения и сервисы используют отдельные сотрудники и бизнес-подразделения без одобрения и контроля со стороны ИТ и ИБ;

• насколько они полезны, надежны, защищены и отвечают бизнес-потребностям;• какие бизнес-подразделения используют облачные решения, могут ли эти

решения становиться каналами для эксфильтрации данных; • с какими заинтересованными сторонами следует консультироваться перед бло-

кировкой или заменой опасного облачного приложения;• какие новые облачные приложения и сервисы появились;• возможна ли консолидация и унификация сервисов или аккаунтов; • какие браузеры и платформы используют сотрудники;• кто, зачем и насколько часто использует самые опасные приложения и сервисы;• какие пользователи выполняют наиболее рискованные действия, и является

ли их поведение намеренно вредоносным;• какие действия предусмотрены ИТ и ИБ для предотвращения некорректного

поведения пользователей (обучение, консультации и пр.)?

Кандидатами на блокировку или особый контроль обычно становятся:

• несанкционированные приложения/сервисы, которые не приносят очевидной пользы для работы;

• решения, порождающие риск нарушения требований регуляторов или кор-поративных политик ИБ;

• дорогие (по трафику, стоимости подписки) приложения;• ненужные или нежелательные функции в санкционированных приложениях.

Если облачное решение важно для бизнеса, но его применение сопряжено с повы-шенными рисками, то необходимо рассмотреть возможность его замены на более защищенное решение. Можно и продолжить использование выбранного решения, а риски снижать путем непрерывного мониторинга – отслеживать неправиль-ное использование данного решения и попытки несанкционированного доступа. При этом сотрудников надо обучить тому, как наиболее безопасно задействовать такое приложение или сервис.

Обнаружив использование облачных решений, оцените риски и последствия бло-кировки. Заранее предупредите пользователей о намерении заблокировать ресурс,



рассмотрите их отзывы. Примените политики мониторинга/блокировки, а по журналам CASB убедитесь, что они правильно работают. Обратите внимание на обращения пользователей при возникновении непредвиденных последствий.

Выберите наиболее значимые проблемы и задачи для проработки. Запланируйте ежемесячный аудит используемых в компании облачных решений, отметив:

• новые активно используемые приложения;• нежелательное поведение пользователей;• изменения в оценке рисков приложений.

Заблокировать, заменить или одобрить?

Необходимо, чтобы вопросы непрерывности бизнеса и функциональности нуж-ных приложений и сервисов учитывались прежде, чем они будут заблокированы, заменены или одобрены. Для этого в экспертном совете должны присутствовать руководители заинтересованных бизнес-подразделений, специалисты по ИТ, ИБ, управлению рисками и юристы. Принимать решения можно по алгоритму, показан-ному на рисунке. Тесное сотрудничество бизнес-подразделений и этих специалистов позволит учесть как нужды бизнеса, так и требования безопасности.

В ходе мероприятий по выявлению и анализу Shadow IT для востребованных облачных приложений и сервисов необходимо оценить риски с учетом требований регуляторов. Нужно понять, кому и зачем нужны эти решения и отметить опасные действия пользователей.

При выборе решения CASB следует обратить внимание, главным образом, на такие характе-ристики:

• охват источников данных; • спектр поддерживаемых облачных решений; • возможности интегральной оценки рисков

приложений и сервисов по основным пара-метрам безопасности;

• возможности оценки облачных решений по основным эксплуатационным характе-ристикам;

• возможности выявления опасной пользо-вательской активности в корпоративных облачных аккаунтах.

Специализированный класс решений CASB дает возможность обнаруживать и исследовать облач-ные решения, защищать корпоративные данные и контролировать взаимодействие с ними поль-зователей. Интеграция CASB с DLP, Endpoint-решениями, веб-шлюзом и межсетевым экраном обеспечит наиболее полный контроль над тран-закциями с облачными решениями.


36

ИБ-п

ракт

ика

Жизненный цикл безопасного принятия

облаков в корпоративную среду

Мониторинг «исключений»: некоторые облачные сервисы не являются для компа-нии ни вредными, ни полезными, но по каким-то причинам не подлежат блокировке; в таких случаях необходим мониторинг этих «исключений».

Обнаружение Shadow IT: в первую очередь, необходимо выяснить, какие облачные приложения и сервисы применяются в компании, кто их использует.

Идентификация рисков: нужно идентифицировать приложения SaaS, представ-ляющие опасность для компании; это могут быть слабозащищенные приложения – потенциальные каналы для хищения данных.

Проверка соответствия нормативным требованиям: часто необходимо, чтобы облачное решение соответствовало требованиям регуляторов, например в отно-шении обработки ПДн или финансовой информации.

Нужно для работы?

Приложение защищенное и широко распространенное?

Доступны ли средства контроля?

Вендор может исправить?

Бизнес-потребности перевешивают риски?

Обсуждение замены/блокировки

с заинтересованными лицами

Соответствует корпоративным политикам безопасности

и требованиям регуляторов?

нетда

нетда

нетда

нетда

нетда

нетда

Обнаружено облачное приложение

БлокировкаМониторингПринятие



Идентификация неэффективности: подразделения компании могут использовать разные, но схожие облачные решения; сравнив их функциональность и профили безопасности, можно сократить затраты и упростить контроль над этими решениями.

Выявление опасной пользовательской активности: облачный аккаунт может быть захвачен злоумышленниками, а пользователь может выполнять сомнительные операции типа массового копирования или удаления данных – такую активность в облачных аккаунтах нужно выявлять.

Блокировка облачных решений с повышенным риском: нежелательные облач-ные приложения и сервисы можно заблокировать на веб-шлюзе или межсетевом экране.

Контроль над утвержденными полезными облачными решениями: взаи-модействие с утвержденными облачными решениями наиболее детально можно контролировать с помощью специализированных решений класса CASB, а также SWG или NGFW (при наличии таких функциональных возможностей).

Обнаруж

ение Shadow IT

Утверждено

Мониторинг

Блокировка

Соответствие требованиямА

на

ли

з

ис

по

ль

зов

ан

ия

Ид

енти

фик

ация

риск

ов п

рило

жен

ий

Ид

ен

тиф

икац

ия

не

эф

фе

ктив

но

сти

Вы

яв

ле

ни

е

оп

асн

ых д

ей

ств

ий

по

льзо

вате

ле

й


38

ИБ-п

ракт

ика

Нестабильная рыночная ситуация и рост курса валют

вынуждают бизнес все больше урезать бюджеты, и в первую

очередь собственники экономят на том, чего не понимают.

Как снизить издержки на ИБ-проект и доказать бизнесу

пользу от внедрения тех или иных инструментов? Похоже,

опробованные «рецепты», воспринимаемые некоторыми

специалистами как устаревшие, по-прежнему актуальны.

Дмитрий Кандыбович генеральный директорООО «АТОМ БЕЗОПАСНОСТЬ» (STAFFCOP ENTERPRISE)

ИБ в условиях безденежья и непонимания



Вполне естественно, что в условиях кри-зиса бизнес сначала пускает под нож те статьи бюджета, которые не понимает. А не понимают многие собственники и управленцы суть и смысл информа-ционных технологий и, особенно, инфор-

мационной безопасности. Осознание значимости ИБ обычно приходит лишь после того, как компания сталкивается с кражей, утечкой или поломкой, поэтому специалистам сложно обосновывать биз-несу грядущие затраты. ИТ и ИБ оста-ются черными ящиками для инвестиций в глазах руководства и от этого страдают.

Время рассудит

Грамотные ИТ-специалисты успешно эко-номят деньги компании, и соответствую-щие методы известны уже лет 15. Каждый специалист может составить собствен-ную выборку фактов и на ее основе сфор-мировать персональное мнение – время рассудит стороны через несколько лет, когда бизнес подсчитает реально затра-ченные и/или потерянные деньги.

Вспомним, до 2009 г. рынок ИТ рос за счет лицензирования. Кризис конца 2008 г. заставил собственников серьезно эконо-мить. Специалисты по ИТ первыми ощу-тили на себе последствия оптимизации расходов и стали уделять все больше внимания решениям с открытым исход-ным кодом.

Когда кризис начал отступать, на рынок вышли новые решения. Сложные во вне-дрении проекты обещали компаниям сокращение издержек и рост прибыли

через несколько лет. До 2014 г. ком-пании не считали деньги и покупали все, что казалось им привлекательным по функциональности. При этом закупка какой-либо коммерческой платформы вынуждала приобретать другие реше-

ния той же платформы для построения слаженной системы.

Нынешние сложные экономические усло-вия заставляют бизнес думать прежде, чем приступать к ИТ-проектам, серьезно анализировать и осмысливать их плюсы и минусы в денежном эквиваленте. Правда, порой рациональные сообра-жения отступают под натиском привычек и надуманных проблем.

Классический пример – выбор между операционными системами Windows и Linux. Коммерческая ОС Windows тре-бует затрат на каждое рабочее место и дополнительные надстройки. Решения Linux базируются на условно бесплат-ных технологиях, что позволяет клиенту не платить монополисту за лицензии – только за труд разработчиков. Так что же, выбор очевиден?

Но – нет, зачастую можно услышать рас-суждения о специфичности бесплатного программного обеспечения и связанных с ним проблемах. Скажем, утвержда-ется, что специалистов по Linux найти сложнее, чем специалистов по Windows, да и стоят они дороже. Это не соответ-ствует действительности. Оклады специ-алистов по Windows и Linux сопоставимы по размерам, причем неизбалованный Linux-специалист запрашивает мень-

ОПЫТНЫЙ ОФИЦЕР СЛУЖБЫ БЕЗОПАСНОСТИ

ОДНАЖДЫ ОЗВУЧИЛ ОЧЕНЬ ТОЧНУЮ

АЛЛЕГОРИЮ: «НАДО НЕ ПРЯТАТЬ ОТ МЫШИ

КРУПУ, А ЛОВИТЬ МЫШЬ»


40

ИБ-п

ракт

ика ший бюджет на развертывание и под-

держку решения – за счет бесплатной платформы.

Еще один пример: собственник бизнеса сравнивает с целью последующего вне-дрения продукты двух вендоров. Осно-вой одного из них является, скажем, PostgreSQL, другого — Oracle. Функци-онал продуктов одинаков, различаются лишь их цена и технологии. При этом стоимость решения, основанного на PostgreSQL, будет ниже, поскольку лицензия на PostgreSQL ничего не стоит. Однако в ответ на доводы о возмож-ной экономии с помощью последнего продукта заказчик сообщает, что еще в докризисные годы покупал решения на основе Oracle и что отход от привычной базы данных кажется ему нелогичным. Получается, что даже в условиях сокра-щения бюджетов бизнес нередко про-должает выбирать решения, к которым просто привык.

Не прятать крупу, а ловить мышь

Во время беседы с заказчиком опытный офицер службы безопасности однажды озвучил аллегорию, которую я считаю очень точной и применимой ко многим сегодняшним выборам и задачам: «Надо не прятать от мыши крупу, а ловить мышь». Это, в частности, означает и «умную» экономию с прицелом на будущее, и нацеленность на получение конкрет-ных результатов.

Так, многие крупные компании озвучивают необходимость в открытом API для инте-грации. Они уже не готовы покупать коро-бочные решения – они хотят изменений под свои нужды, возможности без вложе-ний и быстро дорабатывать функционал, внедрять новые виды отчетов и менять интерфейс.

Сроки имеют все большее значение. Прежде ИБ-проекты зачастую разво-рачивались и настраивались год-два от подписания контракта и до введения

в эксплуатацию. Такие сроки устраивали и заказчиков, и, тем более, интеграто-ров. Сейчас, как свидетельствует наша статистика, становятся все более акту-альными новые временные рамки: заказ-чики часто считают крайним сроком 6–12 мес., оптимальным – 3 мес. Выигрывает тот вендор, который может развернуть и настроить свою систему максимально быстро, и в этом смысле сложные DLP-системы явно проигрывают.

Помимо долгого внедрения DLP под-разумевает сложные настройки, зна-чительные инвестиции и блокировки. В «классической» ситуации компания закупает дорогую DLP-систему, рабо-тающую по технологии толстых клиен-тов, и Windows-серверы с передовым железом, а потом пользуется кейлогге-ром с помощью дорогостоящей связки. При этом блокировки не настраиваются идеально и порождают ложные сраба-тывания, которые тормозят бизнес-про-цессы. Для того чтобы не парализовать работу компании, необходимы штат специалистов и возможность править ложные срабатывания «на лету». Соот-ветственно, бизнесу опять приходится тратить деньги.

Как свидетельствует наша практика, 5% заказчиков используют тонкие клиенты, а 2% думают о SaaS-модели как основе аналитической системы информационной безопасности. С технологиями, позволя-ющими агенту работать из любой точки, бизнесу не приходится платить за про-кладку VPN-канала от компьютеров до центрального сервера.

И – несколько слов о кадрах. В докризис-ные годы бизнес уделял мало внимания квалификации участников ИБ-проектов и не воспитывал собственные кадры. К работе часто привлекали специали-стов из компаний-интеграторов. Однако в любом ИТ- или ИБ-проекте основной интерес интегратора составляют деньги, и когда у заказчика заканчиваются сред-ства на поддержание проекта, интегратор



немедленно пересаживает его из мяг-кого кресла на бетонный пол. В 2017 г. заказчики, наконец, начали все это четко осознавать.

Обучение собственных кадров обхо-дится гораздо дешевле, чем постоян-ное использование услуг интеграторов. ВУЗы каждый год выпускают молодых специалистов, и бизнесу нужно только вовремя взять такового в штат и дать ему возможность вырасти. А потому заказ-чики начали выдвигать иные требова-ния к интеграторам: им больше не нужен «проект», не нужен полный аутсорсинг, им нужна экспертиза, и они хотят, чтобы их собственные сотрудники, обучившись работе с системами, могли поддерживать их после ухода интеграторов. Другими словами, бизнес старается получить от интегратора не максимум решений, а максимум информации и обучение сотрудников.

Как продать ИБ-проект бизнесу

Бизнес не понимает технологии, но пони-мает деньги. А специалисты по информа-ционной безопасности, наоборот, плохо понимают деньги, но понимают техноло-гии. Для того чтобы бизнес согласился инвестировать в ИБ-проект, специали-сту нужно показать ему, в чем именно заключается финансовая выгода.

Приведем упрощенный пример. В штате компании числятся 100 менеджеров, еже-месячная зарплата каждого из которых составляет 30 тыс. руб., что в совокуп-ности дает 3 млн руб. в месяц. Каждый из менеджеров тратит 1 ч в день (т.е. восьмую часть рабочего времени) на раз-бор спама в почтовом ящике. Несложно подсчитать, что разбор спама сотруд-никами обходится компании в 375 тыс. руб. в месяц, или 4 млн руб. в год. Цена антиспам-модуля составляет примерно 75 тыс. в год, и при его внедрении эконо-мия очевидна, а у менеджеров ежедневно будет освобождаться для продуктивной деятельности 100 ч рабочего времени.

Еще один пример. С компанией со штатом пять человек сотрудничали 15 удален-ных фрилансеров. Один из фрилансеров в последний рабочий день перед заверше-нием проекта скачал всю пользователь-скую базу компании. На следующее утро базу купил конкурент, который провел с учетом ее данных маркетинговое меро-приятие, причинив первой компании ущерб на 3 млн руб. Понятно, что ее система ИБ доказала свою несостоятельность.

Если специалист по ИБ запасется такими выкладками в качестве аргументов, он уве-личит свои шансы на выделение финанси-рования. Генеральный директор оторвет взгляд от iPhone X и забеспокоится.

Будущее ИТ- и ИБ-проектов – за коман-дами поставщиков, которые могут обо-сновывать необходимость тех или иных проектов путем перевода их техноло-гических и прочих «виртуальных» пре-имуществ на язык финансовой выгоды заказчиков. Специалист, отвечающий за проект на стороне заказчика, тоже должен уметь обосновывать финансовую выгоду, а кроме того, объяснять бизнесу, что обеспечение информационной без-опасности не ограничивается установкой антивируса и выполнением требований законодательства.

Наконец, можно утверждать, что больше шансов на реализацию имеют про-екты, которые строятся на открытом программном обеспечении. Снижение себестоимости ИБ-продукта заставит бизнес повернуться к ним лицом.


42

под

маск

ой Об Интернет-мусоре в стиле хокку

Вечерним вьюнком

Я в плен захвачен… Недвижно

Стою в забытьи.

Басё

NICKNAME: Розенбот

Новая порция откровений под маской Розенбота.

На сей раз речь идет об управлении Интернет-мусором.


под маской

!БДИ: В этот декабрьский вечер мы хотели поговорить об Интернет-мусоре. Что это такое? Пора ли запоминать новую аббревиатуру – IoG?

Розенбот: Интернет-мусором я называю такие устройства IoT, для которых про-изводитель перестал выпускать новые прошивки. Что с ними теперь делать? Эти устройства – собственность частных лиц или компаний, но они превращаются в потенциальный строительный материал для ботнетов.

Владелец устройства ни в чем не виноват. Он его купил, активно использует, веро-ятно, даже пароль правильный установил, и вот – незадача! Получается, что в сло-жившейся экономической модели IoT-производители сами создают основу для атак ботнетов, по сравнению с которыми атаки Mirai покажутся мелким хулиганством.

Старый-старый пруд.

Вдруг прыгнула лягушка.

Громкий всплеск воды.

Басё

!БДИ: И каково же решение?

Розенбот: Я вижу его в переходе на новую экономическую модель, в которой «железо» будет не продаваться в собственность, а сдаваться в аренду. При этом производитель станет брать на себя задачу обмена устаревших IoT-устройств на актуальные.

Так и должно быть! Мир кардинально продвигается в сторону арендной экономики, все становится услугами! Думаю, в этой новой экономике технологии децентрали-зованных сетей, блокчейна и смарт-контрактов будут играть важную роль.

Будь внимательным!

Цветы пастушьей сумки

На тебя глядят.

Басё

!БДИ: Поясни, пожалуйста.

Розенбот: IoG , то есть Интернет-мусор, является очень привлекательным акти-вом для киберпреступников. Важно не дать ему превратиться в токсичный актив IoT-провайдеров. Я вижу выход в выборе для IoT-сетей модели автономного децен-трализованного предприятия (ДАО), или, другими словами, децентрализованной сети смарт-контрактов. Наиболее известный пример на сегодняшний день – это Ethereum. Нам предстоит автоматизировать установку, обслуживание и замену миллиардов устройств. И я не вижу иного пути, кроме подготовки перехода от обнов-


44

под

маск

ой ления самим пользователем разрозненных устройств одной серии к автономному децентрализованному предприятию. В нем устройства IoT являются нодами, а все взаимодействие с поставщиком услуг прописано в алгоритме смарт-контракта.

Нужно учесть, что себестоимость производства «железа» стремительно уменьшается, а одновременно растет спрос на качество и безопасность предоставляемых услуг.

Значит, основной актив будущих автономных децентрализованных предприятий Интернета вещей – качество смарт-контрактов, а не «железо». Это станет «светлым будущим» встроенной кибербезопасности (security by design) и позволит регулиро-вать объем сетей Интернет-мусора.

Погостила и ушла

Светлая луна… Остался

Стол о четырех углах.

Басё

!БДИ: Получается, что производитель будет создавать свой собственный ботнет?

Розенбот: Да, это напоминает ботнет, только юридически легальный, в виде ДАО. А иначе – никак, клин клином вышибают!

!БДИ: Ты не видишь здесь опасности монополизации рынков IoT?

Розенбот: Такая опасность есть всегда, но человечество с ней как-то справляется.

!БДИ: А как быть с институтом частной собственности?

Розенбот: Экономисты что-нибудь придумают.

Новогодние

Ели. Как короткий сон,

Тридцать лет прошло.

Басё

!БДИ: И что же, благодаря новой парадигме наступит всем счастье?

Розенбот: С этим – не сюда. Счастьем заведует другой департамент.

Кстати, пользуясь случаем, поздравляю всех с наступающим Новым Годом! Счастья вам!


компетенции

Моральный вред как часть ущерба

При оценке рисков, связанных с нарушениями правил

обработки персональных данных, учитывают несколько

основных составляющих. Но можно ли превентивно, еще

до возникновения каких-либо нарушений, учесть

в сумме возможного ущерба компании столь сложный

для формализации компонент, как моральный ущерб?

Анна Осокина эксперт по ИБ компании R-Vision


46

комп

етен

ции Выполнение требований Федерального закона от 27.07.2006 № 152-ФЗ «О пер-

сональных данных» – одна из наиболее актуальных задач российских компаний. В соответствии с его положениями, любая организация, обрабатывающая данные своих сотрудников, клиентов или контрагентов, является оператором персональ-ных данных и обязана обеспечить необходимые организационные и технические меры для защиты таких данных. При этом все чаще при выборе тех или иных мер и средств защиты различных процессах оператор базируется на риск о ориенти-рованном подходе, учитывая величину возможных последствий нарушения правил обработки персональных данных в конкретном процессе (отдельной системе).

Составляющие ущерба

Как известно – оценки рисков должны быть определены две основные пере-менные: вероятность реализации сценария риска и размер возможного ущерба. Под ущербом в данном случае подразумевают различные негативные последствия, которые может повлечь за собой реализация сценария риска. Если рассматривать количественную оценку ущерба компаний в финансовом выражении, то при опре-делении рисков, связанных с нарушениями правил обработки персональных данных, к таким последствиям могут относиться (см. рисунок):

• штрафы;

• возмещение морального вреда пострадавшим субъектам;

• операционные издержки;

• договорные санкции.

Для подсчета суммарного ущерба сначала требуется определить возможные размеры каждого из типов последствий:

• для такой составляющей ущерба, как величина штрафов (административ-ных или уголовных), суммы четко зафиксированы законодательством (этот вопрос был рассмотрен ранее и в материале «Сколько стоят персональные данные в Китае, Германии и России?»);



• величину потенциальных операционных издержек определить непросто, но воз-можно. Например, можно посчитать их для внутренних ресурсов с учетом сто-имости трудочаса специалиста, работающего в компании-операторе, а в случае привлечения внешних ресурсов – с учетом средней (или максимальной) рыночной стоимости услуг;

• размеры штрафных санкций по договорам при нарушении правил конфиден-циальности, как правило, четко прописываются в этих договорах или привя-зываются к сумме договора;

• если сценарий реализации риска потенциально может привести к судебным разбирательствам с субъектом персональных данных, то обязательно следует учитывать компенсацию морального вреда и ее возможные размеры.

Напомним, в соответствии со ст. 152 ГК РФ моральный вред может выражаться, в частности, в нравственных переживаниях в связи с утратой родственников, с невозможностью продолжать активную общественную жизнь, с раскрытием семейной или врачебной тайны, с распространением не соответствующих дей-ствительности сведений, порочащих честь, достоинство или деловую репутацию гражданина, с физической болью из-за причиненного увечья, иного повреждения здоровья либо в связи с заболеванием, перенесенным в результате нравственных страданий и др.

В контексте защиты персональных данных вопросы компенсации морального вреда могут быть затронуты в случае раскрытия семейной, врачебной тайны, распространения не соответствующих действительности сведений, порочащих честь, достоинство или деловую репутацию гражданина.


48

комп

етен

ции Исследование судебной практики

Для обоснования вероятного ущерба, связанного с возмещением морального вреда, будем использовать подход на основе простого статистического анали-за данных судебной практики. Так как непосредственно в сфере защиты прав субъектов ПДн российская судебная практика еще не развита в достаточной степени, рассмотрим для начала общие тенденции судопроизводства РФ, свя-занные с удовлетворением исковых требований по возмещению морального вреда, а также наиболее распространенные формулировки таких требований.

Центр экспертизы R-Vision провел исследование соответствующей судебной практики на основе открытых данных, размещенных на портале РосПравосудие. В выборку попали сведения по 53 судебным решениям, вынесенным в 2011 – 2017 гг. Иски распределялись по следующим категориям:

• о компенсации морального вреда в связи с причинением вреда здоровью;

• о компенсации морального вреда в связи с утратой близкого родственника;

• о компенсации морального вреда в связи с нарушением прав потребителей;

• о компенсации морального вреда в связи с нарушением трудовых прав работника;

• о компенсации морального вреда в связи с защитой чести и достоинства, деловой репутации.

По итогам этого исследования было определено, что средний размер выплаты с целью компенсации морального вреда составляет примерно 100 тыс. руб., а максимальный – 1 млн руб. При этом наиболее значительные суммы компен-



сации связаны с причинением вреда жизни и здоровью (в т. ч. с утратой близких родственников); средний размер выплаты составляет примерно 188 тыс. руб. В тех случаях, когда речь идет о нарушениях других прав субъекта, средний размер выплаты – значительно ниже.

Вопросов возмещения морального вреда в связи с причинением вреда жизни и здо-ровью мы далее касаться не будем, поскольку они малоприменимы к теме нарушений в компании правил обработки ПДн. В нашем случае такие судебные дела не являются показательными с точки зрения обоснования размеров ущерба при оценке рисков.

Рассмотрим отдельно ситуации, в которых возмещение морального вреда может осуществляться совместно с претензиями о неправомерной обработке персональных данных или о нарушениях правил такой обработки (нарушения прав потребителей, трудовых прав работника, защита чести и достоинства, деловой репутации). На рисун-ках приведены данные о связи первоначальных исковых требований о возмещении морального вреда с размерами полученных компенсаций.

В ходе анализа выборки судебных решений было выявлено следующее. Удовлетво-ряются в среднем около 30% первоначальных исковых требований по возмещению морального вреда. При этом, как видно на диаграммах, чем выше первоначальные запросы, тем ниже процент удовлетворенных требований.

В рассмотренных примерах максимальная сумма возмещения составляла 200 тыс. руб., а средний размер выплаты - 18 тыс. руб.

Таким образом, в зависимости от принятой методики и подхода к оценке рисков, при расчетах суммарно возможного ущерба, включающего в себя количественную (в денежном выражении) составляющую возмещения морального вреда, используется либо статистически усредненное значение (18 тыс. руб.), либо максимально возможное возмещение (200 тыс. руб.). В обоих случаях необходимо предусмотреть поправку на количество субъектов, персональные данные которых обрабатываются.


50

АвторыАлексей Лукацкий, бизнес-консультант по безопасности Cisco Дмитрий Мананников, бизнес-консультант по безопасности, эксперт BISAМария Воронова, руководитель направления консалтинга InfoWatch Илья Борисов, менеджер по ИБ регионального кластера СНГ компании thyssenkrupp Industrial SolutionsСергей Хайрук, аналитик компании InfoWatchАндрей Арсентьев, аналитик компании InfoWatch Виктор Ивановский, менеджер по развитию бизнеса Solar SecurityДарья Орешкина, директор по развитию бизнеса Web ControlДмитрий Кандыбович, генеральный директор ООО «Атом Безопасность»(Staffcop Enterprise)Анна Осокина, эксперт по ИБ компании R-Vision

ИнформацияНомер журнала: №20, IV квартал 2017 г.Тираж: 1000 экз. Распространяется бесплатно Номер свидетельства: ПИ № ФС 77 – 54908 Свидетельство о регистрации СМИ: ПИ № ФС 77 – 54908 Зарегистрировавший орган: Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций

Главный редактор: Олег Седов Литературный редактор: Наталья Соболева Руководитель группы дизайна: Ирина ЛифинцеваДизайнеры-верстальщики: Алена Яковлева, Яна Аксакова

Адрес редакции: 123022, Москва, ул. Верейская, д. 29, стр. 134, БЦ «Верейская Плаза» Дизайн и печать – типография «ЮСМА»: 109316, Москва, Волгоградский пр-т, д. 42, корп. 5 Интернет-версия издания: http://bis-expert.ru/bdi

Контакты по вопросам рекламы и размещения материалов Е-mail: [email protected]

Рукописи не возвращаются и не рецензируются.

Редакция не несет ответственности за достоверность рекламных мате-риалов. Любое воспроизведение материалов и их фрагментов возможно только с письменного согласия редакции

Ж урна л «Безопаснос ть Д е ловой Информации»


НАШИ ВЫПУСКИ

ЖУРНАЛ О ТРЕНДАХ, ЗНАНИЯХ

И ЛИЧНОМ ОПЫТЕ В ОБЛАСТИ ЗАЩИТЫ

ИНФОРМАЦИОННЫХ АКТИВОВ

14 19 27 ИБ-навигатор Осторожно, для бизнеса низкая ... ·...

Documents