Содержание
Эта статья о том, почему компаниям важно пересматривать подходы к кибербезопасности: достаточно ли эффективны старые методы и могут ли они в полной мере сохранить свою актуальность? Какие действия необходимо предпринять для достижения зрелости информационной безопасности в компании? Мы расскажем, как рынок стремится выстраивать процессы кибербезопасности, приводящие к понятному и измеримому результату.
Как было раньше
Какие ассоциации возникали еще пару лет назад со словосочетанием «специалист по информационной безопасности»? Первое, что вполне резонно приходит на ум, — это соответствие нормативным документам регуляторов, прохождение аудита и прочих проверок, закупка и установка СЗИ без глубокого осознания действительной необходимости перечисленных мер. Обеспечение кибербезопасности было, скорее, формальной задачей, и компании не стремились к реальной защищенности информационных ресурсов. Иным было и распределение ответственности: кибербезопасность не попадала в фокус внимания руководителя организации.
В 2021 году, по результатам опроса Positive Technologies, оказалось, что в основном в арсенале компаний имеются лишь базовые инструменты защиты, не предназначенные для выявления сложных угроз. При этом каждый десятый респондент отметил отсутствие антивирусных средств защиты. Решения продвинутого уровня использовались далеко не во всех компаниях: например, о наличии системы анализа трафика заявили 27% опрошенных представителей организаций, и только в каждом пятом случае планировалось внедрить такие средства защиты.
По результатам опроса в 2021 году, лишь каждый десятый респондент заявил, что в их компании имеются специализированные комплексные решения.
Часто организации привлекали ресурсы для повышения защищенности систем и устранения уязвимостей по факту проведения атаки. Важно задать вопрос: можно ли было предпринять действия заранее, чтобы не допустить негативных последствий?
Кибербезопасность теоретическая — результат практический. Возможно ли?
Прежде всего, обеспечение безопасности организации означает защищенность бизнеса, его непрерывность, поддержку уровня репутации и востребованности. Основной задачей внедрения системы информационной безопасности становится обеспечение устойчивости бизнес-процессов к воздействию внешних факторов.
Ежегодно количество успешных кибератак В нашем исследовании массовая атака (в ходе которой злоумышленники проводят, например, фишинговую рассылку на множество адресов) рассматривается как одна отдельная, а не как совокупность атак. растет, и сейчас вопрос обеспечения защищенности стоит как никогда остро. Кибербезопасность становится все более динамичной областью, поскольку постоянные изменения в инфраструктуре организаций, а также развитие методов атак злоумышленников требуют быстрой адаптации. Например, отмеченный пандемией 2020 год показал, как быстро может измениться формат работы компании и взаимодействия сотрудников и насколько реализация кибербезопасности отстает от вызовов времени.
Появляется все более явное осознание важности практической составляющей кибербезопасности, и организации отмечают необходимость повышения защищенности для противостояния реальным атакам злоумышленников.
Меняются и требования компаний к проведению многочисленных проектов по тестированию на проникновение, поскольку сопоставить результаты пентестов с реальными последствиями для бизнеса становится все сложнее. По нашим данным, в 2021 году появился запрос на верификацию недопустимых для организации событий: в каждом третьем проекте клиенты указывали целевые системы, для которых необходимо было проверить определенные возможности атакующих. В число таких систем входили АСУ ТП, системы управления банкоматами, системы межбанковских переводов SWIFT, «1С», интерфейсы администрирования сайтов. В 2022 году 47% организаций указывали конкретные цели, которых нужно было достичь при проведении работ, причем в 27% организаций специалисты провели верификацию недопустимых событий.
Недопустимое событие — событие, возникающее в результате действий злоумышленников и делающее невозможным достижение операционных и стратегических целей организации или приводящее к длительному нарушению ее основной деятельности.
Часто специфика деятельности компаний не позволяет проверить реализуемость рисков на реальной инфраструктуре из-за того, что это может негативно сказаться на ее технологических и бизнес-процессах. Появляются киберполигоны — системы, имитирующие часть настоящей инфраструктуры организации и предназначенные для тренировки специалистов и оттачивания навыков защиты. Киберполигоны позволяют верифицировать перечень недопустимых событий и последствия их реализации без нарушения реальных процессов, а также оценить возможный ущерб.
К чему мы стремимся сейчас
На сегодняшний момент защититься абсолютно от всех киберугроз невозможно, и все больше организаций осознают необходимость построения бизнес-ориентированной кибербезопасности. Ее основная задача – защитить наиболее важные активы компании и предотвратить наступление недопустимых для нее событий. Появляется результативная кибербезопасность — принципиально иной подход, характерный для организаций со зрелой ИБ.
Результативная кибербезопасность — состояние защищенности организации, которое обеспечивает ее устойчивость к кибератакам и позволяет в любой момент на практике подтвердить, что злоумышленник не сможет реализовать недопустимые для этой организации события.
Результативная безопасность предполагает качественно и количественно измеримую систему защиты информации, которая обеспечивает сохранность активов компании и препятствует наступлению недопустимых событий. Этот подход подразумевает непосредственное включение высшего руководства в развитие информационной безопасности компании, необходимость его участия в формировании перечня недопустимых событий. Реальные опасения и потребности бизнеса становятся основой для постановки конкретных целей ИБ на предприятии.
Подобный подход приносит свои плоды: по результатам исследования PWC, в 2022 году более 70% респондентов заметили многочисленные улучшения кибербезопасности благодаря совокупным инвестициям и сотрудничеству с высшим руководством. Например, 71% опрошенных отметили, что организациям удавалось предвидеть и устранить новые киберриски, связанные с цифровыми инициативами, еще до возникновения негативного влияния на партнеров или клиентов.
Больше половины руководителей (51%) отметили, что для внедрения любого крупного изменения в бизнесе или операционной деятельности им требуется план управления киберрисками. Кроме того, больше половины (52%) заявили, что они намерены возглавить важные инициативы, такие как оптимизация цепочки поставок и отказ от продуктов, ослабляющих позицию предприятия в киберпространстве.
В российском сообществе концепция результативной кибербезопасности на данный момент активно развивается. В первой половине 2023 года мы опросили аудиторию нескольких форумов, посвященных ИБ. В исследование вошли результаты опросов специалистов из области информационной безопасности и руководителей организаций. Опросы проводились в 2023 году на крупных российских форумах: «Инфофорум», «Цифровая устойчивость и информационная безопасность России», «CISO-FORUM».
Опросы, проведенные Positive Technologies, дали следующие результаты:
71% аудитории знаком с общей концепцией результативной кибербезопасности.
59% знают, что значит недопустимое событие в контексте результативной безопасности.
Термин «недопустимое событие» больше не кажется чем-то новым, а часть организаций уже совершенствуют внутренние процессы в соответствии с новым подходом.
В каждом пятом случае (22%) респонденты ответили, что их компаниям удалось выстроить процессы для поддержания киберустойчивости, например мониторинг и противодействие киберугрозам. Часть опрошенных также отметили, что их компаниям удалось внедрить проведение киберучений или запустить программу поиска уязвимостей за вознаграждение — багбаунти.
Багбаунти — программа, в рамках которой привлекается множество внештатных исследователей кибербезопасности для поиска уязвимостей в программном обеспечении, веб-приложениях и IT-инфраструктуре.
Участие в программах багбаунти позволяет дополнительно повысить уровень зрелости ИБ в компании и усилить безопасную разработку. Привлечение внешних специалистов помогает более эффективно выявлять слабые места, когда трудозатраты штатных сотрудников на поиск уязвимостей вручную становятся слишком высокими. При этом компания может более рационально использовать бюджет за счет оплаты только за обнаруженные уязвимости, а не за время, потраченное на их поиск.
Ранее считалось, что запускать такие программы под силу лишь технологичным компаниям. Например, еще в 2019 году на долю таких компаний приходилось 60% всех активных программ на одной из самых популярных платформ — HackerOne. Самыми популярными категориями отраслей были онлайн-сервисы (28%) и разработка ПО (21%). В 2022 году наблюдалась иная картина. В исследовании рынка багбаунти мы проанализировали 24 наиболее крупные активные платформы и выяснили, что наиболее востребованными услуги поиска уязвимостей за вознаграждение оказались в следующих отраслях: IT-компании (16%), онлайн-сервисы (14%), сфера услуг (13%), торговля (11%), финансовые организации (9%) и блокчейн-проекты (9%). Мы ожидаем разворот этого тренда и на такие сегменты, как государственные организации, страхование, транспорт.
Сейчас разница между технологичными компаниями и организациями из других отраслей преимущественно заключается в следующем: первые четко понимают, какой результат они хотят получить от платформ багбаунти как от инструмента для совершенствования защищенности своих сервисов. Технологичные компании при выборе площадки интересуются такими показателями, как количество активных исследователей, возможности для продвижения программы. Компании из других отраслей еще только начинают выходить на багбаунти. Чаще всего это организации, которые выстроили базовые процессы ИБ и теперь хотят обозначить для себя новые векторы развития, привлекая большое количество сторонних специалистов.
В ближайшее время мы ожидаем развитие новых программ, в которых этичные хакеры могут получить выплаты не только за найденные уязвимости, но и за демонстрацию реализации недопустимого для предприятия события. Например, компания Positive Technologies в конце 2022 года запустила программу, основной задачей которой является реализация перевода денежных средств с ее счетов. На текущий момент мы видим, что компании понимают необходимость такого подхода и уже ждут первых успешных историй его внедрения другими участниками рынка.
Выводы
На сегодняшний день деятельность любой организации может быть нарушена не только из-за экономических факторов, но и вследствие кибератаки. Атаки киберпреступников являются одной из потенциальных причин снижения темпов развития бизнеса и невозможности достижения стратегических целей.
Кибербезопасность берет курс на построение и поддержание систем и процессов таким образом, чтобы у злоумышленников не было возможности реализовать недопустимые для организации события. Изменения заметны и на уровне регуляторов: так, указ № 250 вынудил многие российские компании пересмотреть подход к обеспечению своей кибербезопасности, а также впервые обозначил тот факт, что ответственность за кибербезопасность теперь лежит на плечах руководящего звена и первых лиц компании. Ощутим рост внимания и к защите личной информации граждан: например, новые требования Федерального закона № 152-ФЗ обязывают компании в течение суток уведомлять ФСБ и Роскомнадзор о произошедших утечках персональных данных. А в начале февраля 2023 года Минцифры запустило масштабный проект по поиску уязвимостей на портале Госуслуги, который привлек более 8 тысяч багхантеров со всей страны. Отметим и эксперимент Минцифры, описанный в постановлении правительства РФ № 860 и направленный на оценку результативной безопасности как подхода. Уже сейчас темы оценки защищенности и отраслевого регулирования получают новое дыхание, и в будущем мы ожидаем продолжения развития этих тенденций со стороны регуляторов.
Роль кибербезопасности в устойчивости бизнеса и государства становится все более значимой, и потребность в результативной безопасности оказывается одной из ключевых идей для достижения высокого уровня защищенности. Сейчас на рынке повышается потребность в измеримой кибербезопасности, направленной на достижение гарантированного результата — невозможности реализации кибератак с недопустимыми последствиями.