Поводом для поста стала только вышедшая книга двух западных экспертов в области кибербезопасности и на моей памяти это первая книга по кибербезопасности, обращенная не к специалистам, а к членам Советов директоров и руководству компаний, что радует «Управление кибербезопасностью начинается «сверху», с совета директоров и топ-менеджмента. Отсюда оно распространяется на всю организацию, что влечет за собой как смещение ответственности (от технических специалистов к высшему руководству), так и смену угла зрения (с технологий на бизнес, его процессы, стратегию и крупные ставки, а также риски, вызванные кибератаками).»
Количество страшилок, которые валятся на руководителей из области кибер-рисков (в целях данного поста отождествляем понятие кибербезопасности и информационной безопасности, хотя это не одно и тоже) настолько велико, что у многих возникает желание отключить интернет и там не появляться - не спасет. И количество свежих актуальных кейсов в этой книги зашкаливает. Есть три правила абсолютной информационной безопасности «Не покупать компьютер (читай смартфон тоже), не включать его, не подходить к нему». :)
Мне как независимому директору, ведущему в рамках СД или комитетов по инновациям эти вопросы, приходится сталкиваться с проблемами кибербезопасностью довольно часто. Поэтому я буду ссылаться прежде всего на свой опыт, чем на содержание книги, хотя ,очевидно, книга его подтверждает.
В кратком виде мои уроки, о которых я уже писал, заключаются в следующем:
- прежде всего это отсутствие элементарной киберграмотности у руководителей всех уровней, задача обеспечения кибербезопасности это задача компании в целом, а не только ее CISO (chief information security officer, зам по кибербезопасности).
- локализация защиты только в критических важных системах не работает, нельзя обеспечить безопасность вашего дома "забетонировав" двери и оставив открытыми окна.
- подход концентрации только на технологиях защиты не сработает, человеческий фактор, социальная инженирия имею огромное значение, - средства и формы атак постоянно совершенствуются и кибербезопасность это управление рисками, а управление рисками это экономика и часто экономика не в вашу пользу, поскольку стоимость проведения атаки значительно меньше возможного ущерба от нее,
- соблюдение стандартов и требований не гарантирует вашу кибербезопасность (хотя в банковской сфере может спасти вас от отзыва лицензии).
ВАЖНОЕ ДОПОЛНЕНИЕ: помните об отраслевой специфике. Если компания работает в отраслях, связанных с реальным производством, транспортом, энергетикой ...(АСУ, АСУ ТП), то существуют как минимум две важные особенности. Первое: триада информационной безопасности, (безопасности как SECURITY) - конфиденциальность, целостность и доступность данных (КЦД), "инвертируются" в доступность, целостность, конфиденциальность (ДЦК) по приоритету. Если кто-то получит данные с какого-то датчика это еще не проблема, а вот если эти данные станут недоступны или исказятся, то функционирование АСУ будет нарушено. Второе: в этих отраслях существуют стандарты в области отраслевой безопасности (безопасности как SAFETY), т.е. безопасности в области возможного нанесения ущерба жизни, здоровью людей и окружающей среде. В этих отраслях угроза и атака в области cyber security может быстро перейти в области real safety и в этом случае риски и ущерб многократно возрастают. При этом необходимо понимать, что вероятностные и статистические подходы в оценке надежности и safety перестают работать в области cyber security.
А теперь более развернуто. Давайте прежде всего определимся по терминологии, в соответствии с «классикой», риск - сочетание вероятности и последствий наступления неблагоприятных событий (вероятность как «likelihood», а не «probability»!) или риск - это влияние неопределенности на цели. Целью любой коммерческой организации является прибыль (оставим пока социальные функции). И так, кибер-риски - это риски в области кибер-безопасности, влияющие на прибыль вашей организации. Это вопрос экономики вашей организации: баланс между затратами и потерями (включая имиджевые). Кстати, это соотношение не в «нашу» пользу, организация кибер-атаки стоит значительно дешевле, чем защита от нее, вирусы продаются в «даркнете» и хакеры работают коммерческой основе. Кто несёт непосредственную ответственность за прибыль - владелец, СД и топ-менеджмент. Поэтому, выступая на тему управления кибер-рисками, я всегда говорю о том, что именно эта группа лиц управляет рисками, перефразируя Нассима Талеба - только тот, кто собственной шкурой отвечает за риски, способен ими управлять. Все остальные, просто готовят вам информацию для принятия решений, решения м.б. разные, вы просто можете принять риски, не строя эшелонированную систему безопасности и держа в запасе N-ное количество биткойнов для того, чтобы расплатиться с вымогателями (это плохая стратегия, к вам придут снова, но такие факты имели место).
Поскольку мне больше близка банковская сфера, поговорим о ней. В 2020 году Банк России выпустил положение № 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе» В соответствии с этим документом кибер-риски и риски обеспечения непрерывности деятельности организации включены в операционные риски организации и учитываются при расчете показателя Н1 (достаточность капитала кредитной организации). В частности положения этого документа гласят: «Кредитная организация (головная кредитная организация банковской группы) в целях управления риском информационной безопасности определяет во внутренних документах порядок функционирования системы информационной безопасности и обеспечивает его выполнение, в том числе: политику информационной безопасности; выявление и идентификацию риска информационной безопасности, а также его оценку; участие СОВЕТА ДИРЕКТОРОВ (наблюдательного совета) и коллегиального исполнительного органа кредитной организации (головной кредитной организации банковской группы) в решении вопросов управления риском информационной безопасности; ……… Политика информационной безопасности должна утверждаться коллегиальным исполнительным органом кредитной организации (головной кредитной организации банковской группы)". В первой редакции документа политика утверждалась СД). Уважаемые члены СД и собственники, читающие этот пост, кто из вас сходу ответит на вопрос, что такое политика ИБ??? Я думаю немногие 🤨 Следует отметить, что количество законов, подзаконных актов, отраслевых регламентов и других нормативных документов в области информационной безопасности в РФ превышает три сотни, а еще масса международных стандартов. Проблема также заключается и в том, что для оценки кибер-рисков используются старые статистические методы, основанные на вероятности уже произошедших событий и экспертных оценках, которые ориентированы в прошлое. А это означает, что, оценив текущую ситуацию как низко-рискованную, вы можете получить ущерб в ближайшим будущем. Количество новых эксплойтов (зайдите в Википедию и прочитайте что это означает 😉) ежечасно появляющихся в мире превышает 3-4 сотни, а в год достигает десятков и сотен миллионов) Именно поэтому сейчас развивается такая область, как динамическая оценка рисков. Что делать СД с этим потоком нормативных документов, как разобраться с этими вопросами, с учетом того, что вы не являетесь профессионалом в этих вопросах? Как ни странно, решения очень простые.
1.Начните с себя и внесите в повестку ваших СД вопросы регулярной отчетности топ-менеджмента и прежде всего CISO по тематике кибербезопасности и кибер- рисков. Начните задавать вопросы (не стесняясь показаться несведущим), прежде всего по действующим отраслевым нормативным документам, их выполнению и рисками их невыполнения. Выносите на СД утверждение бюджета по кибер-безопасности. Регулярно получайте отчеты по кибер-инцидентам и результатам их расследования. Оцените затраты и достигнутые результаты (здесь статистика все-таки работает). Потребуйте проведения профессионального аудита и оценки уровня кибербезопасности в вашей организации, в банковской сфере это хорошо формализовано, вы получите профессиональный взгляд со стороны.
2. Все конечно начинается с корпоративной культуры в области кибербезопасности. Кибер-гигиена должна быть такой же нормой для любого сотрудника, как и личная гигиена, поскольку 90% кибератак начинается с социальной инженерии, с человеческой психологии. И если ваш сотрудник не знает, что нельзя вставлять неизвестную флешку в компьютер, даже если на ней написано «Зарплата генерального директора», значит вы не управляете кибер-рисками. Таких простых правил очень много и все их знает ваш CISO и должен знать CRO (Chief Risk Officer). Заставьте их работать в команде, не допуская перебрасывания ответственности. Отвечать все равно придется вам.
3. Любая профессиональная сфера требует высокой квалификации, девиз «безопасников» - «Все что м.б. взломано, обязательно будет взломано». Поскольку не всякая организация может позволить себе содержать штат высококвалифицированных специалистов в этой области (особенно из СМБ), задумайтесь об аутсорсинге кибербезопасности, этот рынок сейчас активно формируется. Здесь главный вопросы это правильный SLA (Service Level Agreement), кто за что отвечает и размер покрытия ущерба.
4. Рассмотрите вопрос страхования кибер-рисков и, хотя, в настоящий момент, немногие компании этим занимаются и все уходят от покрытия совокупного ущерба, поскольку он м.б. очень серьезен. Вам хотя бы помогут с профессиональными юристами, особенно в области «privacy» и защиты персональных данных, особенно после появления GDPR и модификации 152-ФЗ( 519-ФЗ.......), но это другая большая тема...
И помните - ваша задача не обеспечить 100% защиту от кибер-атак, это невозможно, а обеспечить кибер-устойчивость компании, т.е. обеспечить функционирование организации и выполнение ею своих обязательств перед партнерами и клиентами, а также обеспечение безопасности жизни и здоровья людей и окружающей среды в условиях постоянного наличия кибер-атак. Это комплекс различных процессов, который тесно пересекается с проблемами и решениями в области обеспечения непрерывности деятельности.
Этой мой опыт, а в книги вы найдете в более развернутом виде еще массу аспектов, уроков и советов, связанных с деятельностью Совета директоров в области кибербезопасности. Дорогу осилит идущий. Членам СД читать обязательно (книгу).
