Мы будем жить теперь по-новому!
Группа "Любэ"
Но насколько то, чем мы стали заниматься, – действительно информационная безопасность? Т.е. действительно ли наша деятельность направлена на достижение состояния защищенности исключительно информационных ресурсов? Разобраться в этом не столько интересно, сколько полезно – правильное понимание цели даёт возможность достигать её быстрее и проще.
Если не забираться в совсем исторические дебри (10 и более лет назад – уже позавчерашний день), можно уверенно говорить о нескольких сменах ориентиров в области нашей деятельности (аббревиатуру «ИБ» специально не применяем, она же поставлена под сомнение).
Как раз 10 лет назад лучшие практики в области ИБ были собраны в британских стандартах серии BS 7799 (контрольные механизмы – часть 1, система управления – часть 2, управление рисками – часть 3). Достаточно быстро стандарты получили международное признание: они легли в основу ISO 27001, и именно под этим названием практики выбора механизмов защиты на основе управления рисками ИБ получили повсеместное распространение.
Около 3 лет назад мы говорили о переходе от рисковой модели управления ИБ к снижению реальных потерь. Действительно, риски как вероятностная величина не настолько точно и (что немаловажно для отечественных реалий, в которых принцип «пока гром не грянет, мужик не перекрестится» закреплён на уровне поговорки) ярко характеризуют наличие или отсутствие проблем, требующих решения. Почему такая миграция стала возможна? Просто инциденты стали настолько частыми, что за обычный для оценки эффективности период времени (чаще всего год) в компании наверняка что-то происходило, и далеко не раз. Наглядно это демонстрировали, например, DLP-системы: даже в ходе пилота за пару недель обнаруживались 2–3 инцидента, потери от них сравнительно просто пересчитывались в деньги. Экстраполяция на год, и – вуаля! – срок окупаемости посчитан. Причем частенько в этот год и укладывались, а сложная и непоказательная математика с вероятностью, рисками и т.п. для принятия решения не применялась.
Вооружившись до зубов, мир все ещё информационной безопасности начал подобные системы эксплуатировать. И тут выяснилось, что результаты работы DLP-системы (не будем менять пример, он очень удачный) используются отнюдь не внутри подразделения ИБ. Чаще всего служба экономической безопасности инициирует расследование и делает запрос ИБэшникам для анализа коммуникаций попавших под подозрение сотрудников (пассивный вариант). Реже DLP-система сама что-то находит, и для принятия конкретных шагов эта информация передаётся в экономическую безопасность (активный вариант). Мы сталкивались с ситуациями, когда внутри холдинга одним из KPI службы экономической безопасности было количество уголовных дел, заведенных на собственных сотрудников. На добрую половину он выполнялся на DLP-системе.
Насколько эта система стоит на страже информационных ресурсов, если типовой инцидент – это сговор в мессенджере соцсети между сотрудником, отвечающим за закупки, и поставщиком? Очевидно, что в небольшой степени. Но подобные не ИТ-деяния оставляют ИТ-след, который и был обнаружен, а затем использован в целях обеспечения корпоративной/экономической безопасности.
Во всё большем количестве компаний службы «всё еще информационной» безопасности пошли дальше: ведь массовая автоматизация бизнес-процессов позволяет с помощью ИТ-средств обнаруживать не только такие аномалии. В этом смысле уместно привести ещё одно устоявшееся выражение – на этот раз цитату «Как дела в России? – Воруют». Существует множество мошеннических схем, использование которых достаточно просто детектируется с помощью информационных технологий. Например, нечестный кассир, недодавший в течение смены сдачу, очень часто открывает кассу, чтобы достать «лишние деньги», и проводит операцию по фиктивной продаже нескольких грамм картошки. Такая аномалия служит сигналом службе безопасности. Или (если воруют по-крупному) погрузчик на складе загружает паллету с товаром не в тот грузовик – это отслеживается либо по Wi-Fi-метке на погрузчике, либо за счёт анализа видео.
За последнее время в нашей стране стартовало значительное количество проектов по противодействию мошенничеству и воровству в различных отраслях – в ритейле, на транспорте, в логистических компаниях, нефтянке. Большинство таких внедрений ведутся подразделениями информационной безопасности в сотрудничестве с внутренним контролем и экономической безопасностью, во многом потому что последние с информационными технологиями, скорее, «на Вы, чем на ты». По сути, безопасность информационных ресурсов в этом случае вообще остаётся в стороне, и уровень информационной безопасности никак не меняется.
Однако именно такие проекты часто обозначаются руководством компаний как стратегические, на них делается ставка в развитии бизнеса. Мы сталкивались с ситуациями, когда ROI от таких проектов превышает ROI от традиционных бизнес-проектов – развития филиальной сети, диверсификации бизнеса и пр. Действительно, в текущих экономических условиях во многих отраслях практически нереально хоть сколько-нибудь увеличить объем бизнеса, и ставка на сокращение издержек – основной вектор развития. С учётом того, что от воровства и мошенничества компании теряют 1–4% от своего оборота (и это не сокращение оборота, а недополученная чистая прибыль!), а антифрод-проекты сокращают потери на 30–50% при сроке окупаемости от полугода, давнее стремление ИБэшников приносить деньги в компанию наконец-то начинает реализовываться.
Вхождение традиционной информационной безопасности в подобные «не ИБ»-проекты, с одной стороны, можно воспринимать как данность. С другой – это даёт руководителям более глубокое понимание бизнеса, которое начинает распространяться и на всю остальную деятельность ИБ-подразделения. Меняются и цели проектов. Например, происходит миграция от «надо мониторить инциденты ИБ в соответствии с лучшими практиками» к «управление инцидентами дает возможность оперативно реагировать и сокращать ущерб». При этом естественное желание выбрать лучший в своем классе продукт для решения каждой частной задачи сменяется выбором технологий, имеющих оптимальное сочетание функциональности и совокупной стоимости владения.
Именно такой обновленный взгляд, с одной стороны, более критический, с другой – более широкий, рассматривающий все возможности, предоставляемые ИТ для обеспечения безопасности бизнеса, является характерной чертой сегодняшнего дня. Конечно, это не отменяет, а, скорее, дополняет традиционные практики – управление рисками. Но то, что мы перестали быть только ИБэшниками и существенно лучше разбираемся в том, на чем компания зарабатывает, а на чем теряет, и как мы можем в этом помочь, даёт возможность сделать существенно больше, чем мы могли ещё вчера.