Киберхранители

Людовик XIV в 16-летнем возрасте говорил: "Государство - это я!", что в условиях монархии практически правда. Фактически это означает, что все слабости конкретного индивида наследуются и государственностью, т.е. влияя на этого человека можно влиять на целое государство.

В эпоху капитализма, когда у всех предприятий есть конкретные собственники ситуация повторяется - влияние на владельца отражается на его компании. Но не обязательно влиять на владельца, можно работать точечно - в любой компании, по любому направлению деятельности есть лица, принимающие решения (ЛПР), поэтому для достижения желаемого результата в той или иной области, совсем не обязательно "доставать" до владельцев, достаточно дотянуться до ЛПР.

В целом, проблематика очевидна и давно известна, - поэтому компании оплачивают охрану владельцам и членам семьи, видимо, чтобы их не похитили, или не причинили какой-либо физический ущерб, способный отразиться на работе компании (в грамотном BCP вопросы безопасности ключевых фигур обязательно анализируется).

Однако, в эпоху тотальной цифровизации, не меньший ущерб (фактический или мнимый, так как виртуальность окружения допускает виртуальность угроз для виртуальных активов) может быть нанесен и в цифровом пространстве. Примеров и сценариев можно предположить бесконечное множество, но базовая схема - вымогательство за какую-либо компрометацию, например, слив персональных данных (адреса, телефоны, контакты, паспортные данные, СНИЛС, Госуслуги, доходы и налоговые выплаты) или каких-либо артефактов частной\личной жизни (фотов, видео, переписки, записи разговоров).

При рассмотрении риска важно учитывать не только размер ущерба, но и простоту реализации атаки. На мой взгляд, кибер атаку реализовать проще, чем физическое похищение похищение, тогда как возможности по вымогательству сравнимы, сравнима и результативность. Поверхность атаки здесь все та же: сам ЛПР, а также круг небезразличным ему, ну, самое очевидное, - круг членов семьи.

Все написанное выше выглядит очевидно, да? А теперь внимание вопрос: кто из корпоративной безопасности заботится об информационной безопасности в рамках частной жизни ЛПР и членов его семьи? Традиционно CISO концентрируется на корпоративных активах, помещая их в сетевые периметры, закрывая их за Zero Trust. Не надо быть гением для понимания, что ИБ защищает не информацию, а корпоративные бизнес-процессы (информация - ресурс для работы БП, но не основная цель). А бизнес-процессы не работают без конкретных людей, без ЛПР (да, начитавшись классической литературы по обеспечению ИБ велик соблазн поверить в возможность построения БП, не зависящих от конкретных исполнителей, однако, на сложных производствах это невозможно, да и вся история и книжки о ЖЗЛ подтверждают мои слова). Любой индивид тянет за собой цифровой след, являющийся поверхностью атаки и потенциальным инструментом влияния на ЛПР, а, следовательно, на корпоративные бизнес-процессы.

Мне можно попробовать возразить, что частная жизнь ЛПР - сфера деятельности полиции, тем более, что я писал про киберполицию и, Органы уже берутся за расследования преступлений в сфере высоких технологий и есть специалисты... Но, с позиции компании описываемые риски не стоит игнорировать, попавшийся "на крючок" ЛПР несет ущерб компании, а борьба с ущербом - задача корпоративной Безопасности, да и с точки зрения последствий, не стоит игнорировать какие-либо виды ущерба, исходя исключительно из источника.