Почему так успешны кибератаки

И что надо делать, чтобы укрепить информационную безопасность

Потери российских компаний от кибератак стремительно растут и давно исчисляются миллиардами рублей в год. Предприятия увеличивают инвестиции в информационную безопасность (ИБ), но они часто неэффективны. Главная проблема в том, что службы ИБ часто совершенно оторваны от бизнеса, а используемые ими меры и инструменты, на которые потрачено немало денег, не встроены в бизнес-процессы. Такой подход годится, если компаниям нужно выполнить требования регуляторов, но мошенники, вооруженные цифровыми методами, проходят через такую защиту как нож сквозь масло. Более того, иногда всю систему защиты вполне можно заменить небольшим изменением бизнес-процесса, но никто об этом не догадывается. Что делать?

Весь менеджмент компании – и высшего, и среднего звена – должен руководствоваться главным принципом: за информбезопасность отвечает не служба ИБ. Как может начальник отдела ИБ, отставной милиционер или бывший системный администратор, гарантировать, что все критичные информационные активы компании выявлены, что верно оценена их важность для бизнес-процессов и что защита адекватна?

В международных стандартах используется термин «владелец информационной системы». Речь идет о главном пользователе: например, главный пользователь «1С бухгалтерии» – главный бухгалтер, а системы CRM – начальник отдела продаж. Эти люди и должны отвечать за риски, в том числе за риски нарушения информбезопасности, связанные с их системами. Только эти менеджеры могут разобраться в залежах корпоративной информации, определить ценность данных для конкурентов и стоимость ущерба, если нарушится бизнес-процесс.

Разумеется, главный бухгалтер не сможет выбрать подходящий антивирус и определить режимы резервного копирования. Отделы IT и ИБ должны оказать главным владельцам систем услуги по выбору, настройке и сопровождению средств защиты, расчету рисков. Лучше всего, если главные пользователи заключат со службами IT и ИБ соглашения об уровне обслуживания (SLA). Так проще будет определить расходы на безопасность и сосредоточиться на защите критичных активов, а не распыляться на мелочи.

Разработать SLA и набор KPI для службы информбезопасности не сложнее, чем измерить любой другой бизнес-процесс. В основу SLA ложатся измеримые показатели: скорость реакции на инциденты, скорость устранения уязвимостей, периодичность проверок, выполнение требований по обучению персонала, оперативность консультаций и обработки заявок на доступ и т. д. По идее, в разработке SLA должны участвовать специалисты по информбезопасности, но обычно они всячески саботируют нововведения, поэтому новые правила нужно жестко спускать сверху.

Практика показывает, что высшее руководство крайне редко является инициатором реформ в системе информбезопасности. Как правило, это либо внешние аудиторы и консультанты, либо новый директор по ИБ.

Никто из менеджмента не горит желанием брать на себя ответственность за риски ИБ, в которых он совершенно не разбирается. Однако другого способа создать эффективную систему защиты нет. Как действовать директору по ИБ, чтобы дело двинулось дальше громких лозунгов?

1. Инициативу нужно заранее проработать с топ-менеджментом, а затем презентовать ему же. Если службе ИБ поручили такую трансформацию, но никому из высшего начальства она явно не нужна, директору по ИБ лучше заранее приготовиться к рассылке резюме.

2. Служба должна подготовить концепцию сервисного подхода к ИБ до старта реформы, а значит, она должна включиться в этот проект минимум на полгода раньше остальных подразделений. Я не видел примеров, когда полная перестройка системы ИБ происходила бы быстрее чем за год.

3. Чтобы вовлечь менеджмент, нужно сформировать комитет по ИБ, в который должны входить высшие руководители компании. Возглавить его должен не директор по ИБ, а генеральный или операционный директор. Комитет должен собираться не реже чем раз в квартал. Модератором встреч может быть директор по ИБ, но стратегические решения остаются за комитетом, члены которого лучше разбираются в бизнесе, нежели шеф по ИБ.

4. Необходимо обучить ключевых сотрудников новой системе, а также заранее начать учебные занятия по основам информбезопасности для всех сотрудников. Это поможет сформировать в компании атмосферу вовлеченности в ИБ. Пользователи – слабейшее звено в информзащите, но они способны вносить важнейший вклад в ее укрепление. Можно взять за основу популярный подход people-centric security (PCS), хорошо описанный компанией Gartner.

5. Стартовать лучше не во всех подразделениях одновременно, а выбрать несколько добровольцев из самых передовых руководителей. С первого раза все вряд ли пойдет гладко, а скептически настроенные топ-менеджеры раздуют ошибки реформаторов и похоронят все начинание. Как говорится, слона лучше есть по частям.

6. Руководителям-добровольцам надо помогать, вряд ли директор по логистике будет сам разбираться в кипе документов и заполнять опросники. Служба ИБ должна прикрепить к нему консультантов, которые возьмут на себя всю рутинную работу.