Оценка рисков как must have, или перестаньте тыкать пальцем в небо

— Зависит от профиля компании. Каждая организация с помощью оценки рисков должна выявить наиболее актуальные для себя угрозы. Если этого не сделать, то их актуальность будет определяться по принципу «пальцем в небо». Например, систему ДБО банка с высокой долей вероятности будут атаковать хакеры, чтобы украсть деньги.

То, что у вас нет инцидентов, не значит, что угрозы неактуальны. Это может означать, что вы их не выявили и не знаете о них.

Если брать весь рынок, то ситуация с глобальными угрозами не меняется. Может быть, только Интернет вещей выстрелил некоторое время назад: прошла волна крупных DDoS-атак с использованием гигантского количества утюгов и пылесосов. В целом же можно повторить слова многих спикеров о том, что «количество угроз ИБ растет, все плохо, надо покупать средства защиты и т.д.».

При управлении рисками угрозы ранжи- руют исходя из актуальной модели нарушителя, предпосылок и потенциального ущерба, который может наступить при их реализации. Проще говоря, если угроза может повлечь за собой 6 млн руб. ущерба, то она актуальнее той, что оценивается в 200 тыс. Так их и надо ранжировать.

О рисках ИБ

— С периодичностью от года до трех лет. При соблюдении регуляторных требований, серьезном изменении инфраструктуры, процессов и продуктов в компании моделирование угроз должно быть непрерывным процессом. Нужен годичный цикл, в рамках которого будет проходить актуализация состояния конкретных систем или процессов.

В ряде крупных компаний оценка рисков происходит ежеквартально: группа стейкхолдеров берет предыдущую модель угроз и пересматривает ее, выявляет, что изменилось. Главное, чтобы это выполнялось не раз в несколько лет: при современной динамике за это время изменится как бизнес, так и ландшафт угроз.

Отмечу, что оценка рисков должна быть регулярной, но заниматься только ею нельзя. Для отдела ИБ это лишь одна из задач, поэтому надо найти приемлемый баланс: сколько времени и ресурсов вы готовы на нее тратить.

— С помощью карты рисков. Она позволяет получить полную картину. Вы можете четко видеть угрозы, ущерб от них, а в сформированном плане мероприятий прописано, как снизить их до приемлемого уровня и сколько на это нужно будет потратить.

Другими словами, мы видим, какие риски генерируют реальный ущерб и во сколько обойдутся меры по их снижению. Карта рисков позволяет увидеть «дорогую» в плане ущерба угрозу с условно «дешевыми» мерами по ее нивелированию.

В целом нужно прокачать систему безопасности до определенного best-practice — базового уровня защищенности, а затем переходить к пентестам или формированию у себя Red/Blue Team. Когда вы всё реализовали по стандартам, достигли baseline, выполнили обязательную программу, тогда уже можно приглашать экспертов, которые помогут определить, где еще остались узкие места. И здесь нужны пентесты. Они покажут, над чем еще нужно работать. И это непрерывный, практически бесконечный процесс, поскольку совершенствоваться можно довольно долго. Если же система безопасности не выстроена, изначально дырявая, то пентесты бессмысленны: они за ваши деньги покажут то, что вы и так уже знаете, — кучу брешей и неработающие процессы.

— У нас все еще наблюдается неклиентоориентированность ИБ, когда во главу угла ставится безопасность, а не удобство пользователя. Это неправильно. Если компания зарабатывает деньги на предоставлении сервиса клиенту, а он уходит, то такая ИБ никому не нужна, потому что организация разорится. Безопасник обязательно должен думать об удобстве использования. Другой вопрос, что, как правило, это упирается в оптимизацию процессов. И здесь стоит работать над развитием компетенций ИБ-специалистов по этому направлению — BPM или Lean. В результате вы увидите, где слишком закручены гайки, на чем компания теряет ресурсы, что можно улучшить.

Наше общество сейчас — общество ленивых людей, которые привыкли к удобству сервисов. Естественно, в эту сторону развивается и информационная безопасность: инструменты становятся более удобными.

— В идеальном мире решение, которое используется для оценки рисков, должно автоматически поддерживать ее пересмотр и актуализацию. Например, в нашей системе информация обо всех активах, инцидентах и уязвимостях обновляется в режиме онлайн. Мы идем к тому, чтобы при инвентаризации, добавлении данных о новом средстве защиты риски пересчитывались автоматически. Не во время кампании по актуализации угроз через год, а сразу.

При моделировании рисков в нашем решении настраиваются связи: например, отсутствие инцидентов определенного типа, связанного с конкретными угрозами, означает, что они неактуальны. Наличие от 1 до 3 инцидентов — угроза среднего уровня, более 5 инцидентов — высокого. При появлении инцидента система автоматически пересчитывает статус угрозы.

В результате, если открыть карту рисков, она будет актуальной: с учетом всех средств защиты, инцидентов и уязвимостей на текущий момент.

Первый вариант — Excel. Это дешево, и его используют в 90% проектов по оценке рисков, даже представители «большой четверки». Обычно Excel применяется в сочетании с макросами и выглядит практически как интерфейс специальной программы. Но у такого подхода есть свои недостатки. На большом количестве данных система начинает тормозить, а чтобы отредактировать макрос, нужно найти его автора, что не всегда возможно. Зачастую вообще не получается разобраться, как именно Excel работает с макросом. Кроме того, в большинстве случаев у таких решений нет нормальной инструкции и методологии.

Второй вариант — GRC-системы — дорогой инструментарий для крупных компаний с высоким уровнем зрелости. Это конструкторы, с помощью которых можно создать собственный космос, свою систему, но это займет несколько лет и потребует много ресурсов. К тому же специалистов в этой области мало и стоят они дорого. Найти такого человека намного сложнее, чем того, кто напишет макрос. Из-за этого GRC не нашли широкого применения на рынке.

Также для оценки рисков ИБ можно использовать инструментарий Security GRC (SGRC). Это не настолько масштабный конструктор, как полноценная GRC, — он дешевле и проще.

Здесь работает принцип 80/20: 20% проекта идут быстро, потом нужно долго и тщательно работать. Волшебной таблетки, ускоряющей процесс, к сожалению, не существует. Наши решения тоже развертываются быстро, но затем начинается кропотливая работа по приведению системы в идеальное состояние.

Если уровень зрелости компании не очень высок, вы не сможете быстро выстроить правильную киберзащиту. Нужно сформировать стратегию развития направления хотя бы на 3 года и постепенно, год за годом, ее реализовывать. При этом важно минимизировать текучесть кадров — она может стать реальным стоппером проекта.

О кадрах

Сами по себе средства защиты не могут обеспечить кибербезопасность. Она строится на связке из технологий, людей и процессов. Помимо самой системы, нужны квалифицированные кадры, которые ее внедрят, будут использовать и поддерживать, нужен воспроизводимый, непрерывный и правильно задокументированный процесс. Без любого из этих элементов реальной безопасности в вашей компании не будет.

Лучше искать долго и придирчиво, но найти действительно классного специалиста, обладающего необходимым набором hard и soft skills. Как показывает опыт, личностные качества развивать сложнее, чем технические компетенции. Знания можно нарастить, а отношение к работе у человека меняется редко.

Готовых специалистов на рынке мало, к тому же такой сотрудник даже на новом месте будет стараться работать, используя уже знакомые ему подходы, и не факт, что его удастся переучить. Нужно не бояться подтягивать и выращивать экспертов. Это не всегда возможно, особенно если результат нужен «вчера» и человек, выходя на работу, должен сразу его показать. В остальных случаях стоит брать людей «на вырост» и давать им задачи чуть сложнее привычных, чтобы они развивались.

Будучи CISO, я всегда считал обучение важным. Оно играет огромную роль, когда в компании появляются новые системы или процессы, эффективность которых напрямую зависит от компетенций сотрудников. Некоторые считают, что хороший специалист обучится сам. Возможно, но он потратит существенно больше времени и наверняка что-то упустит. Есть приемы, позволяющие даже при отсутствии HR-бюджета закладывать расходы на обучение в проект, если руководитель в этом заинтересован. При этом узкие технические скиллы легко получить на курсах, а вот тренинги по процессам ИБ или оценке рисков на рынке представлены слабо. Бывает и такое, что желание обучить специалиста есть, а качественного курса нет.

Первая причина потери продуктивности — отсутствие порядка, того, что мы называем инвентаризацией. Когда есть четкое понимание того, что происходит с ИТ-активами компании и кто за них отвечает, любые вопросы решаются быстро. Яркий пример — задача обновления ПО. Ничего сложного в ней нет, но, если инвентаризация не проводится, ответственному сотруднику сначала придется долго разбираться, где что стоит и как используется. Это особенно актуально для больших компаний.

Второе, на чем теряется время сотрудников, — рутинные операции. Не надо бояться их автоматизировать: 5 раз выполнил задачу руками — на 6-й стоит задуматься и написать скрипт. Такие вещи сильно повышают продуктивность и мотивацию. Человек, который полдня занимается рутиной, гораздо менее «заряжен», чем тот, кто тратит на нее 20% времени.