До того как стать специалистом по безопасности, автор был инженером-программистом, внедрявшим системы автоматизации. Он понял, что тесно связанные системы приводят к тесно связанным сбоям. Этот опыт перенесся в кибербезопасность, где выявилась структурная проблема: киберриск регулировался фрагментарно. — csoonline.com
Прежде чем занять должность, связанную с безопасностью, я был инженером-программистом, внедрявшим вертикально интегрированные системы автоматизации для промышленного производства, складских конвейерных сетей, роботизированной обработки материалов, физической инфраструктуры, управляемой программным обеспечением на все более взаимосвязанных сетях. Я рано понял, что тесно связанные системы порождают тесно связанные сбои. Когда единый сбой программного обеспечения мог остановить распределительный центр, вы проектировали систему с учетом плавного снижения производительности. Вы предполагали, что компоненты выйдут из строя, и строили систему так, чтобы она могла это поглотить.
Этот инстинкт последовал за мной в сферу кибербезопасности, а затем и на должности CISO в здравоохранении, финансовых услугах и мировом производстве. Эти отрасли работают в рамках различных нормативных режимов, сталкиваются с различными профилями угроз и по-разному определяют риск. Но в каждой из них я сталкивался с одной и той же структурной проблемой: киберриск не регулировался как единая дисциплина. Он внедрялся по частям существующими системами, рынками продуктов, регуляторами, аудиторами, страховщиками и советами директоров, каждый из которых создавал свои собственные системы в соответствии со своим графиком, на своем языке и в соответствии со своим определением «безопасности». Эта картина перекликается с ранней актуарной наукой, когда отдельные направления страхования моделировали риски изолированно, прежде чем обнаружили, что реальной угрозой являются коррелированные убытки.
Внутри любого отдельного «силоса» логика была верной. Но стыки между ними никогда не согласовывались. Там, где слепое пятно одной системы становилось непризнанным риском для другой, не было общего языка, чтобы это назвать. И поскольку цифровая трансформация ускорила взаимосвязь между отраслями, цепочками поставок и критически важной инфраструктурой, эти стыки превратились в реальную современную поверхность риска.
Мы тратим больше, но отстаем
В каждой программе безопасности, которую я возглавлял, бюджет мог расти из года в год. Мой подход всегда был противоположным: агрессивно сокращать избыточность инструментов и возможностей, упрощать архитектуру и привязывать каждый доллар к измеримому бизнес-результату. Своевременность и намерение. Но даже при такой дисциплине разрыв между нашими расходами и нашими рисками увеличивался, потому что технологические изменения выводили из строя наши инструменты и предположения быстрее, чем мы могли их заменить. Отраслевые данные подтверждают, что это не единичный случай. Gartner прогнозирует, что мировые расходы на безопасность превысят 212 миллиардов долларов в 2025 году. Экономический ущерб от киберпреступности, по большинству оценок, превысил 10 триллионов долларов в год. Эти кривые расходятся, а не сходятся.
Впервые я остро ощутил это в сфере здравоохранения. Будучи CISO в глобальном администраторе льгот, обрабатывающем конфиденциальные медицинские данные миллионов участников, я работал в соответствии с HIPAA, государственными нормативными актами о конфиденциальности и договорными обязательствами спонсоров планов. Мы могли удовлетворить каждый аудит и при этом знать, что реальный риск заключался в передаче данных, интерфейсах между нашей платформой претензий и внешними сетями провайдеров, данных, циркулирующих между системами, регулируемыми разными стандартами. Аудиторы отмечали свои пункты. Стыки оставались неизмеренными.
Позже, возглавляя глобальную инженерию безопасности в крупной фирме по управлению активами, я увидел тот же пробел в финансовых услугах. Разные средства контроля, разные регуляторы, одинаковое слепое пятно. Фрагментация была еще более заметна на международном уровне. Региональные регулирующие органы, требования к суверенитету данных, различающиеся в зависимости от юрисдикции, экосистемы поставщиков, отличающиеся в разных географических регионах. У каждого регулятора было свое определение адекватной безопасности. Ни один из них не описывал взаимосвязанную реальность, которую мы защищали. Исследователи Федеральной резервной системы задокументировали, как экспозиция финансовой системы к коррелированным киберинцидентам растет способами, которые традиционные модели рисков не были созданы для улавливания. Я жил этим разрывом ежедневно.
Что объединяло этот опыт, так это закономерность на страховом рынке, которая беспокоила меня больше, чем любая отдельная угроза. Я наблюдал, как премии снижаются, даже когда частота и серьезность взломов растут. Страховщики андеррайтили отдельные, некоррелированные инциденты, в то время как реальный риск становился системным. Цифровая трансформация связала эти отрасли: платформы здравоохранения подключены к клиринговым палатам финансовых учреждений, которые подключены к производственным цепочкам поставок, которые все подключены к гиперскейлерам, но актуарные модели по-прежнему рассматривали каждого страхователя как отдельный субъект. Когда сбой одного поставщика может каскадно затронуть тысячи организаций одновременно, такая модель ценообразования теряет смысл. В нашем цифровом пруду таится «черный лебедь».
Обычный выбор — самый опасный
Рассмотрим стек, который типичное крупное предприятие использовало в 2024 году: один поставщик для ERP и цепочки поставок, другой для периметральной защиты, третий для сетей и еще один для защиты конечных точек. Стандартный выбор, сделанный ответственно. В течение 12-месячного периода каждая из этих категорий пережила значительные сбои, от эксплойтов нулевого дня до сбоев обновлений, нарушивших глобальные операции. Любое отдельное событие было бы преодолимо. Но их совокупность — это нечто иное.
Я пережил это как глобальный CISO. Моя команда планировала последовательные кризисы с временем восстановления между ними. Но мы получали наложение сбоев в взаимозависимых системах. Однажды мы устраняли последствия экстренного исправления на нашем периметре, в то время как второе уведомление эскалировалось на другой платформе. Предположение о том, что эти события будут происходить по одному, что у нас будет передышка, оказалось вымыслом планирования. Когда вы поддерживаете саму операцию, кризисы в реальном времени обнажают стыки.
Уязвимость брандмауэра — это не просто сетевая проблема, когда ERP, стоящая за ним, обрабатывает каждую финансовую транзакцию. Сбой агента конечной точки — это не просто отключение инструмента безопасности, когда он выводит из строя операционные системы, управляющие вашей логистикой. Эти платформы не выходят из строя изолированно, потому что они не работают изолированно. И отрасли, зависящие от них, все чаще тоже. Сбой у облачного провайдера отзывается эхом в системах здравоохранения, обрабатывающих претензии, финансовых учреждениях, проводящих расчеты по сделкам, и на производственных предприятиях, координирующих цепочки поставок на одной и той же платформе.
Инцидент с CrowdStrike в июле 2024 года сделал это неоспоримым. Обычное обновление контента, без злоумышленника, без эксплойта, вывело из строя миллионы систем Windows по всему миру. Авиакомпании отменили рейсы. Больницы перенаправляли пациентов. Финансовые услуги остановились. Сам защитный инструмент стал вектором сбоя. Это должно было положить конец спорам о том, является ли кибербезопасность технической проблемой, ограниченной организационными границами, или системным риском, выходящим за их пределы.
Мой опыт в промышленной автоматизации сделал эту картину мрачно знакомой. В области обработки материалов мы знали, что уровень интеграции является поверхностью с самым высоким риском. Мы проектировали системы, предполагая, что любой компонент может выйти из строя, и создавали пути деградации, чтобы операция не останавливалась. Корпоративная кибербезопасность каким-то образом убедила себя, что сбор лучших в своем классе инструментов равносилен построению устойчивой системы. Это не так. И по мере того, как цифровая трансформация выводит все больше критически важной инфраструктуры — от энергосетей и систем водоснабжения до транспортных сетей и медицинских устройств — на одни и те же взаимосвязанные платформы, последствия этой путаницы умножаются.
Устойчивость — это проблема проектирования, а не проблема соответствия требованиям
В здравоохранении, финансовых услугах и производстве я наблюдал одну и ту же картину. Аппарат соответствия требованиям измерял наличие средств контроля. Он редко измерял, сможет ли организация или более широкая инфраструктура, от которой она зависит, пережить сбой. В здравоохранении мы демонстрируем соответствие требованиям, зная, что наша устойчивость к скоординированной атаке цепочки поставок в значительной степени не проверена. В финансовых услугах мы проходим проверки, в то время как страховщики, андеррайтирующие наши риски, рассчитывают на те же сигналы соответствия, которые принимают проверяющие — и ни те, ни другие не улавливают системную взаимозависимость между нашими платформами и нашими контрагентами. В производстве мы защищаем ИТ-сеть, в то время как операционные технологии, управляющие физическими процессами, все больше подвергаются воздействию через ту же цифровую трансформацию, которую ускоряет бизнес. Мы слабы на стыках.
Вопрос, который преследовал меня от роли к роли, был прост: если бы критически важная платформа вышла из строя завтра, не была взломана, а просто вышла из строя, смогло бы предприятие продолжать работу? Могли бы предоставляемые им критически важные услуги продолжать функционировать? Бумажные процессы и теоретические упражнения всегда существовали, но никогда не в той форме, которая могла бы предсказать каскадные последствия.
Сам интернет предлагает лучшую модель. Он был спроектирован так, чтобы пережить потерю любого отдельного узла. Маршруты нарушаются, и трафик находит другой путь. Организациям необходимо такое же архитектурное качество, как и взаимосвязанной инфраструктуре, которая на них опирается. Цель не может заключаться в предотвращении каждого компромисса. Цель должна состоять в том, чтобы ни один отдельный сбой не привел к системному сбою, который выведет из строя критически важные услуги в разных отраслях. Это определяет приоритет. Вы не можете добиться этого путем аудита. Вы должны это построить.
Внешнее давление сходится к этому выводу. Страхование становится труднее приобрести на значимых уровнях покрытия, а страховщики борются с коррелированными рисками, которые они пока не могут оценить. Регуляторы переносят ответственность на высшее руководство. Советы директоров хотят видеть доказательства выживаемости, а не оценки зрелости. И сфера того, что должна защищать «кибербезопасность», постоянно расширяется: от ИИ и корпоративных данных до операционных технологий и критически важной инфраструктуры, от которой зависят сообщества.
Отрасль построила экономику вокруг демонстрации того, что организации безопасны. Она оптимизирована для аудитов, сертификаций и соответствия фреймворкам. Но она так и не решила проблему доказательства того, что организация и окружающая ее инфраструктура могут выдержать серьезные сбои и продолжать работать. Это тот стык, который имеет наибольшее значение.
Цифровая трансформация не просто увеличила поверхность атаки каждой организации. Она сплела эти поверхности в возникающую сеть взаимозависимости, которая охватывает секторы и границы. Вопрос, который каждый руководитель по безопасности и рискам должен задать себе, больше не заключается в том, достаточны ли их средства контроля. Вопрос в том, соответствуют ли они, наряду со своими программами или предложениями, устойчивому будущему или же они удерживают все более тяжелое прошлое.
Эта статья публикуется в рамках Сети экспертных авторов Foundry.
Хотите присоединиться?
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Torrell Funderburk