Низкобюджетная информационная безопасность: почему любому бизнесу от мала до велика нужно знать про модель ИБ-зрелости
Состояние ИТ-инфраструктуры и подходы к информационной безопасности современных бизнесов во время пандемии показали, что многие оказались не готовы к серьезным рискам, прилетающим со стороны кибермира. Особенно когда вокруг и так много новых «пандемических» вводных: сложности с сотрудниками на удаленке, во взаимодействии c налоговыми органами, регуляторами, банками, арендодателями и т.д.
Это более характерно для малого и микробизнеса. По оценкам экспертов, занимающихся кибербезопасностью, за время пандемии в России и в мире даже малый и микробизнес ощутили на себе влияние растущего объема киберпреступлений, не говоря уже о крупных организациях, утечки и атаки на которые мы в InfoWatch постоянно мониторим.
Независимо от объемов бизнеса, в эту пандемию компании стали чаще встречаться с атаками внешних киберпреступников и по понятным причинам оказались более уязвимы через сотрудников, работающих удаленно. Вряд ли в мире останется бизнес, нетронутый этой темной стороной цифровизации, учитывая, насколько сильно связаны экономическая эффективность и автоматизация бизнес-процессов, практически целиком зависящая сегодня от технических средств и ПО.
С чем приходится иметь дело в подавляющем большинстве случаев согласно статистике: спам и фишинговые атаки, банковские трояны, шифровальщики, незакрытые уязвимости сайтов и бизнес-приложений, не обученные цифровой гигиене сотрудники, небезопасные бесплатные сервисы для бизнеса. Понятно, что с большим бюджетом можно себя чувствовать более уверенным перед лицом киберугроз. А что делать тем, кому надо защитить себя с минимальными затратами?
Информационная безопасность, как и любая безопасность, имеет дело с рисками. Низкобюджетную ИБ нужно понимать как пересмотр бюджета в меньшую сторону, но при обязательном сохранении уровня защищенности. Важно при любом изменении технического решения контролировать, как изменились риски. Существует много недорогих или даже бесплатных инструментов, чтобы технически организовать ИБ: универсальные продукты с совмещением нескольких функций, аутсорсинг, демо-лицензии, усиление организационных мер в виде разделения доступов и, конечно, огромный объем информации о цифровой гигиене. Согласно статистике, необученные цифровой гигиене сотрудники в подавляющем большинстве случаев и становятся самым слабым звеном в защите компании, позволяющем успешно проэксплуатировать все вышеперечисленные векторы атак.
Что нужно понимать о низкобюджетной ИБ?
Затраты на ИБ можно компенсировать инвестициями в хорошие кадры. Талантливый сисдамин – ваше всё. С его помощью можно ограничить использование ненужных бизнесу каналов передачи данных, а на оставшихся настроить должный контроль. Зачем покупать лицензии программных продуктов с кучей разных перехватчиков, когда можно оставить только актуальные каналы передачи данных и сэкономить на этом? Если есть толковый сисадмин, то он сможет получить почти всю информацию из стандартных логов.
Элементарная информационная безопасность должна соблюдаться всегда, элементарное может быть даже бесплатным. Не устанем повторять, насколько важна в любой организации awareness и обучение сотрудников. Прямо сейчас, пока читаете этот текст, задумайтесь, способны ли ваши сотрудники отличить письмо злоумышленника с шифровальщиком от письма контрагента с первичкой? Расскажут ли они свои пароли человеку, представившемуся техподдержкой банка по телефону? Для одной из профессиональных конференций для корпоративных безопасников мы готовили вот такой чек-лист, по которому любой владелец или менеджер бизнеса, вне зависимости от масштабов, может проверить, нужно ли уделить больше внимания информационной безопасности и что именно надо сделать. Если сотрудники обучены, то статистически риски попасться на фишинг и прочее мошенничество существенно снижаются.
Инвестируйте в обучение, которое будет работать на вас долго. Вы можете приобрести любой онлайн-курс по кибегигиене и организовать его прохождение всеми сотрудниками в рамках обязательного корпоративного обучения.
Пропаганда безопасного обращения с ресурсами – это универсальная организационная мера, которая может однажды спасти бизнес от внезапной остановки. Затраты на то, чтобы поставить на рабочие станции заставку с напоминанием о каком-либо правиле, равны нулю. Только вы можете сформулировать правила безопасного обращения со служебным контентом в вашей компании и уведомить о них всех сотрудников.
Разделение доступов. Когда админский доступ находится только в руках специалистов, а у рядовых сотрудников его нет, сами они не смогут запустить ничего нештатного.
Выбирайте аутсорсинг некоторых ИТ-сервисов, грамотный и недорогой. Вы пока еще маленькая молодая компания, и у вас все работают со своими ноутбуками, потому что «А что в этом такого? Так сейчас принято»? Поздравляем, вы в группе риска. Но его можно минимизировать, отдав на аутсорсинг облачные сервисы. В таком случае облачные сервисы, в которых вы работаете с коммерчески ценной информацией (например, ваша воронка продаж), будут администрироваться обученными этому людьми. А сервис самостоятельно будет нести ответственность за целостность, доступность и конфиденциальность ваших данных в соответствии с договором. При выборе наиболее безопасного облачного решения для бизнеса стоит обратить внимание, есть ли у сервиса сертификаты, в частности международные. Чем они значимее, тем больше доверия заслуживает такой сервис. Кроме того, в случае с облаками рекомендуется внимательно читать условия договора с сервисом и четко понять, за какие участки безопасности ваших данных он несет ответственность в случае чего.
Недостаток бесплатных решений – в отсутствии поддержки, т.е. в увеличении нагрузки на персонал. Универсальные решения менее гибкие и удобные в использовании, что тоже ведет к повышению нагрузки, ответственности и риску ошибки. Аутсорсинг у нас в стране ассоциируется с возможностью подрядчика знакомиться с конфиденциальными данными. На мой взгляд, это мнимая угроза. Скорее, недостатком является необходимость менять ИТ-инфраструктуру и переносить тяжесть расходов с серверов на канал. При этом расходы на канал связи значительнее, чем расходы на поддержку парка серверов.
Говоря об оценке уязвимостей и вариантах киберрисков для сегмента СМБ, мне хотелось бы отдельно остановиться на краеугольном камне в организации безопасности – модели зрелости. В модели зрелости заложено несколько стадий развития информационной безопасности организации. Принцип прост: в процессе взросления любой бизнес сначала находится на стадии «Что случилось?», постепенно переходит в стадию «Почему это случилось?» и далее на уровень «Как сделать так, чтобы этого не случалось?». Те задачи, которые раньше закрывались вручную, со временем потребуют автоматизации. А еще позже – прогнозирования рисков. И растить бизнес, в котором фундамент для безопасности был заложен правильно, в котором соблюдается цифровая гигиена и весь остальной «санитарный минимум», гораздо легче.
Главное правило для любого основателя, директора, менеджера — безопасность должна быть в головах у людей. Лучше всего, когда она встроена на уровне методологического подхода ко всему в бизнесе. Этого бывает достаточно, чтобы уберечься от совсем непоправимых ошибок. Почаще задавайте себе вопросы:
1. Как расти и масштабироваться, сохраняя при этом позиции инфобезопасности сильными, а бизнес устойчивым? Например, информационные активы хранятся в безопасном месте, доступ к ним регламентирован, невозможно на них влиять без вашего ведома.
2. Будет ли решение, которое предлагает мой бизнес, безопасным для пользователей? Например, их персональные и платежные данные хранятся безопасно и не могут быть изменены, скопированы, выведены за периметр вашего бизнеса незаметно для вас.
3. Выстоит ли мой бизнес, если критически важная информация будет украдена или изменена? Например, копия вашей клиентской базы хранится в защищенном месте и всегда остается в актуальном состоянии, а ваш клиентский сервис настолько хорош, что любые происки конкурентов не смогут поколебать репутацию.
На этапе развития встраивать безопасность в ваш продукт легче и дешевле, чем потом расплачиваться за последствия излишне доверчивого или легкомысленного подхода. Мышление, в которое встроена безопасность, в первую и основную очередь защищает от киберугроз и экономит бизнесу деньги на ИБ и в краткосрочной, и в долгосрочной перспективе.
Если у вас средний бизнес, и вы пока не понимаете, что надо автоматизировать, то с точки зрения модели ИБ-зрелости это означает только одно: ваша эффективность пока не страдает от отсутствия автоматизации, и это нормально. Для вас пока актуальнее контролировать почту, а время заморачиваться с интеграциями с бизнес-системами, SIEM, встраиванием безопасности в ИТ-инфраструктуру пока не пришло. Рост потребности во «взрослых» СЗИ (Средства Защиты Информации) и автоматизации демонстрируют те, кто работает с персональными и платежными данными или, например, является подрядчиком по крупным государственным проектам. Если работаете с данными, то знаете, что обязаны их защищать по закону, а регулятор может прийти с проверкой в любой момент. В случае работы с крупными государственными или частными корпорациями, от вас может потребоваться ввести режим коммерческой тайны, подписать NDA с жесткими требованиями к способам и технологиям защиты информации др.
Чем лучше отстроена минимальная часть, тем легче и дешевле потом дается автоматизация. В ИБ мы наблюдаем эту закономерность постоянно: и когда внедряем «пилоты», и когда оказываем консалтинг. Видим немало примеров, когда от уже больших масштабов бизнеса и объемов бюджета на ИБ итоговая безопасность остается на низком уровне именно потому, что изначально не встраивалась во все процессы. Работая с разными категориями клиентов, мы видим, когда требуется несколько слоев автоматизации, а когда бизнесы меньшего масштаба могут закрывать свои ИБ-потребности небольшими модулями СЗИ.
На любом из начальных уровней зрелости все главные ИБ-задачи можно закрыть с минимальными вложениями, практически на 100% самостоятельно и с доминированием организационных мер. На более высоких уровнях зрелости могут понадобиться решения для филиальной структуры с поддержкой тысяч рабочих мест. При условной тысяче (и больше) рабочих мест объем инфопотоков становится настолько большим, что к этим данным уже можно подключать data science. Вот здесь и начинается прогнозирование рисков.
Как показывает наш вендорский опыт, даже в компаниях с самым эффективным менеджментом и прозрачными процессами может случаться разное и порой по непредсказуемым причинам. Иногда достаточно одного человека, который вдруг стал токсичным для бизнеса. И если вовремя это не заметить, ситуация может стать опасной. Лидеры, их партнеры, подчиненные – все допускают ошибки, эмоциональные срывы, обиды и т.д. Случается, что вполне реальные угрозы бизнесу, ставящие под сомнение все его существование, образуются из-за эмоционального накала и неосторожности. Уже существуют технологии предиктивной поведенческой аналитики, благодаря которым, задача управления такого рода рисками может быть автоматизирована. Разумеется, внедрение таких ИТ-систем стоит недешево и оправдано для организаций с большой численностью сотрудников, филиальной структурой и прочими атрибутами большого игрока.
Безопасность бизнеса – это про то, чтобы уметь предусмотреть подобные факторы, и иметь возможность минимизировать их влияние. В мире есть много не самых красивых методов конкурентского и инсайдерского поведения. Принятие того, что какие-то из них могут быть применены к вам, поможет спасти даже безнадежные ситуации и не допустить, например, чтобы корпоративные фонды были «слиты» по глупости или недоразумению. Допускаю, что есть команды, внутри которых царит абсолютное доверие, им никогда не понадобятся эти советы. Хорошо, если так. Но со 100% точностью предугадать это невозможно.
С каждым этапом взросления будет расти потребность что-то автоматизировать. Полезно понимать свою модель угроз и, с одной стороны, не покупать технические средства, которые пока «велики», а с другой, мыслить на перспективу. Чтобы была возможность надстраивать технические модули, когда бизнес подрастет. Вендоры, производящие СЗИ, с моделями угроз для разных заказчиков и отраслей работают постоянно и могут точно сказать, как будете расти вы, с какими угрозами можете встретиться в будущем, и какие модули СЗИ вам понадобятся. Инвестируйте в покупку технологий, технических средств защиты и автоматизации для того, чтобы не терять деньги и зарабатывать больше. Но помните — что реально не купишь ни за какие деньги, так это безопасный mindset в головах у людей.
Делитесь в комментариях, с какими случаями реализованных киберугроз вы сталкивались в своей бизнес-практике или наблюдали в знакомом вам бизнесе?
Максим Анненков, эксперт по информационной безопасности, ГК InfoWatch