Как определять недопустимые для бизнеса события

Указ президента о дополнительных мерах по инфобезопасности бизнеса затрагивает более 500 тыс. российских компаний (ваша — скорее всего в их числе). Фактически это требование стать «более защищенными» — но как это сделать? Первый шаг — определить недопустимые для бизнеса события и с какими рисками можно мириться, а с какими — нет.

Советами о том, как правильно это сделать, эксперты Positive Technologies поделились в рамках открытого образовательного проекта #Агент250 .

Как определять недопустимые для бизнеса события

Почему топ-менеджер должен определять недопустимые события

Указ президента направлен на повышение устойчивости и защищенности информационных ресурсов российских компаний. В рамках Указа персональная ответственность возлагается на руководителя организации. Назначить заместителя генерального директора по ИБ — одна из его обязанностей. В зону ответственности руководителя также входит построение системы защиты, которая позволит избежать реализации недопустимого для компании события. Зачастую на этом пути бизнес сталкивается со следующими сложностями:

  • Специалисты по ИБ сфокусированы на общепринятых киберрисках и не знают, что по-настоящему волнует бизнес. Технические эксперты чаще всего сосредоточены на закрытии уязвимостей и соблюдении политик безопасности и не принимают во внимание интересы бизнеса. Так, ключевыми рисками для специалистов по ИБ будут необновленные ОС и устаревшие базы средств защиты. При этом решение о выделении ресурсов на обработку риска принимает высшее руководство; для него такая опасность не приоритетна, потому что не связана напрямую с бизнес-процессами.
  • Предвзятость бизнеса к вопросам информационной безопасности. Эта ошибка свойственна развивающимся компаниям. Однако и зрелые организации, несмотря на свой многолетний опыт, попадают в ловушку искаженного восприятия актуальной ситуации. Так, многие компании полагают, что если за прошедшие годы бизнес не испытывал трудностей из-за кибератак, то текущий уровень защиты достаточен и сфера их деятельности неинтересна злоумышленникам. Но это ложные убеждения: по мере развития цифровых технологий модернизируются и бизнес-процессы организации, и умения преступников, поэтому надо защищаться от актуальных методов и тактик кибератак.
  • Слабая коммуникация между бизнесом и специалистами по ИБ. Топ-менеджмент понимает направление развития своего бизнеса на несколько лет вперед и учитывает события, которые могут помешать компании. На этом этапе важно воздержаться от предубеждений о невозможности кибератак и постараться открыто обсудить со специалистами по ИБ вероятные сценарии реализации недопустимых событий.

Методика определения недопустимых событий

Первый шаг при определении недопустимых событий — выделить, что именно критически опасно для бизнеса и какие случаи могут привести к его остановке. Например, российская микрокредитная организация «Главфинанс» не сможет существовать без денег — ее деятельность связана с предоставлением займов, на счетах компании не хранятся какие-либо клиентские средства. Таким образом, «Главфинанс» в случае атаки злоумышленников потеряет только собственные деньги, что приведет к полной остановке бизнес-процессов.

На втором шаге высшему руководству совместно с представителями бизнес-подразделений необходимо смоделировать сценарии кибератак на основе подобных случаев. После специалисты по ИБ или IT смогут выделить целевые системы (нежелательное воздействие на них приведет к недопустимому событию) и ключевые (с их помощью злоумышленник способен получить доступ к целевым системам).

Важно, чтобы инициатива в определении недопустимых событий исходила от представителей топ-менеджмента либо активно поддерживалась ими, иначе есть риск повтора ситуации, при которой технический специалист может неверно сформулировать гипотезы.

Чек-лист для определения недопустимых событий:

1. Подготовить перечень гипотез недопустимых событий для обсуждения с топ-менеджментом.

2. Сформулировать недопустимые события в масштабе организации совместно с высшим руководством.

3. Смоделировать сценарии реализации недопустимых событий совместно с представителями бизнес-подразделений.

4. Разделить сценарии реализации недопустимых событий на уровни IT-инфраструктуры.

5. Сформировать итоговый перечень недопустимых событий, учитывающий сценарии реализации, целевые и ключевые системы.

6. Утвердить перечень недопустимых событий на уровне руководства.

Пользуясь этой методикой, можно определить остальные недопустимые события, которые так же нежелательны, как потеря денег для «Главфинанса», но не приводят к полной остановке деятельности организации. Заместитель директора по развитию в компании Татьяна Белоглазова с помощью экспертов Positive Technologies выделила еще три гипотезы:

1. Потеря доступа к данным. Атаки цифровых вымогателей — еще одно недопустимое практически для любого бизнеса событие. По статистике Positive Technologies, в 2022 году злоумышленники доставляли вредоносное ПО в организации через электронные письма в 42% случаев. Многим на почту приходят подозрительные письма, и «Главфинанс» не исключение. Хакеры неприцельно (на все доступные им корпоративные адреса) рассылают фишинговые письма в надежде «подцепить» доверчивого сотрудника. Платой за невнимательность может стать заражение корпоративной сети и шифрование данных. При этом стоит учитывать, что удовлетворение требований злоумышленника о выкупе доступа не гарантирует возвращения информации владельцу.

2. Изменения в базе данных компании. Микрофинансовая организация отчитывается обо всех транзакциях перед Центробанком, Федеральной налоговой службой и бюро кредитных историй. В случае если, например, злоумышленник заменит заемщика X на заемщика Y, то у всех этих органов могут возникнуть вопросы к деятельности «Главфинанса». Компании предстоит потратить недели и месяцы на то, чтобы узнать, что это было: атака извне или же ошибка, допущенная сотрудниками.

3. Утечка персональных данных. Событие влечет за собой репутационные риски. Законодательством также предусмотрены штрафы за утечку персональных данных россиян, и рассматривается вопрос о введении оборотных штрафов для организаций, которые ее допустили.

На следующем этапе топ-менеджменту «Главфинанса» необходимо совместно со специалистами по ИБ проработать сценарии реализации недопустимых событий. Такой же путь следует проделать каждому руководителю российской компании, вне зависимости от размера бизнеса. Активная позиция руководства — один из ключей к определению недопустимых событий и к построению результативной кибербезопасности в условиях агрессивной цифровой среды. Получить доступ к этому ключу можно, собрав воедино все его части — чек-листы, лучшие практики и отработанные методики.

Построение результативной безопасности не заканчивается на определении недопустимых событий. Указ № 250 вызвал в деловом сообществе множество вопросов: как привить сотрудникам кибергигиену, как распределить задачи между службами IT и ИБ, привлекать ли к кибербезопасности аутсорсеров и, наконец, как убедиться в том, что все не зря и злоумышленники не смогут реализовать недопустимое? Найти ответы самостоятельно практически нереально, поэтому российская отрасль ИБ дает возможность стать частью живого комьюнити и вместе строить безопасное будущее.

1111
15 комментариев

Вот, например, все что нужно знать про исполнение таких законов прямо под носом у Роскомнадзора) Взято с официального сайта, там тысячи таких, и это не уязвимость, всё доступно прямыми ссылками на документы.

2
Ответить

Товарный знак зарегистрирован на ИП. Поэтому и указан адрес прописки.

1
Ответить

А что здесь по Вашему не так?)

1
Ответить

Да ладно, очередной документ, который никто не побеспокоится исполнять, как и закон о персональных данных. Сейчас все опять напишут политику и отложат ее в самую дальнюю папку)

1
Ответить

Комментарий недоступен

1
Ответить