Как топ-менеджеру относиться к ИБ-рискам, кроме подхода "либо случится, либо нет"?
Разговоры о том, как убедить бизнес в том, чтобы он обращал больше внимания на информационную безопасность, возникают, планово или стихийно, на любой конференции по информационной безопасности. Чаще всего вывод из таких дискуссий один – давайте попросим регуляторов «закрутить гайки» и заставить бизнес больше тратить на безопасность. На одной из такой дискуссий в зале на несколько сотен человек я попросил поднять руки тех, кто владеет своим бизнесом. Руку поднял только я – больше в зале бизнесменов не было.
Именно в этом мне видится неуспех таких дискуссий и их участников, которые потом пытаются разговаривать с бизнесом. Чтобы разговаривать с бизнесом об информационной безопасности, хорошо бы понимать его мотивацию, а для этого стоит хотя бы ненадолго погрузиться в эту игру возможностей и рисков с ограниченными ресурсами. В кризис эта игра становится особенно жёсткой и быстрой, переходя из взвешенного шахматного противостояния в боксёрский поединок. На деньгах не написано, на что они могут быть потрачены, поэтому бюджет, потраченный на снижение рисков, может быть потрачен на маркетинг, исследования, производство, то есть на выживание или рост. При этом расходы абсолютны, результаты инвестиций в расширение предсказуемы, а вот риски – ве-ро-ят-ност-ны.
Выбирая между возможностью и риском, бизнес всегда выбирает возможность – именно в этом сама суть бизнеса. Риск, если он не 100%, рассматривается бизнесом (если только риски не лежат в его основе - финансы, страхование), как 50%. Как в анекдоте про вероятность встретить динозавра на улице: это либо случится, либо нет. А с вероятностью в ½ бизнес поступает так же, как и большинство обычных людей: надеется, что в ближайшее время это не произойдёт. Глупая позиция? Вспомните себя, когда вы тянете с ремонтом машины, медосмотром, страховкой недвижимости, установкой сигнализации и другими играми типа «абсолютные расходы здесь и сейчас против относительных рисков в непонятно каком будущем».
Убедить бизнес не принимать риск, а инвестировать в его снижение – непростая задача, особенно в ограниченных ресурсах. Для этого надо понимать суть бизнеса, цели и критерии его успешности, его текущее состояние, его процессы и другие аспекты, про которые большинство инфобезопасников не думают. Они больше заняты изучением своих технических «игрушек» и регулирующего законодательства. Очень показательны «мутации» инфобезопасников в бизнес-ориентированных сотрудников в двух процессах, которые я постоянно наблюдаю: обретение собственного бизнеса или получение MBA-образования.
Казалось бы, в первом случае владелец, в прошлом крутой безопасник, наконец-то без давления сверху построит безопасность «по-настоящему, как надо». Но, став бизнесменом, бывший безопасник легко сокращает бюджет, предложенный ему своим безопасником, до минимума. Он понимает, что деньги, потраченные на сложную систему защиты, можно потратить, например на открытие новой торговой точки – а посчитать с хорошей точностью, сколько она принесёт денег, довольно легко. Деньги тратятся только на уменьшение рисков с вероятностью реализоваться близкой к 100%, скажем, на антивирусы и системы разделения доступа. Остальное решается за счёт уже защищённых сервисов и организационных мер – на другое пришлось бы тратить деньги, которые пригодятся для развития.
Похожее превращение случается и в случае, когда инфобезопасник приходит учиться на MBA: его учат смотреть на безопасность, как на один из сервисов, поддерживающих бизнес, такой же, как питание сотрудников или кондиционирование офисов. Его ждёт много открытий – понимание, какое место занимает безопасность в корпоративных процессах, как измерять её эффективность. И после двух лет погружения в новые для безопасности предметы, такие как финансы, менеджмент, маркетинг, мотивация и другие бизнес-дисциплины, он уже перестаёт требовать от регуляторов заставить бизнес покупать побольше технических игрушек.
Так какая же тайная и неведомая сообществу информационных безопасников альтернатива этому «заставить», закрутить гайки регулирования, запугать проверками и грандиозными штрафами и обязать покупать ненужные с точки зрения бизнеса средства защиты, да ещё осложняя выбор требованием происхождения и сертификации? Альтернатива в том, чтобы строить изначально безопасные бизнес-системы. Цифровизация даёт нам этот шанс – многие цифровые системы сегодня как минимум переосмысливаются, а то и переделываются заново. Безопасность в цифровом мире, в котором практически все бизнес-операции происходят в цифровом пространстве - это не навесная функция, не отдельные продукты и услуги, а встроенное свойство информационной системы. Не слишком ли это затратно? Нас долго учили, что безопасность замедляет и удорожает процессы, но это не обязательно так. Даже на бытовом уровне мы видим примеры того, что можно строить одновременно удобные и безопасные системы. Вы пользуетесь мессенджерами? Вы ведь даже не заметили, как в них появилось шифрование! Они ведь не стали от этого сложнее и дороже? А идентификация на смартфонах и ноутбуках по отпечатку пальца или лицу делает управление доступом даже удобнее, чем до их появления. Умелое встраивание безопасности в процесс не после создания сложной информационной системы, а в самом начале её проектирования позволяет сделать безопасность прозрачной, работающей естественно и без замедления процесса.
Именно эту страшную тайну и постигают безопасники переходя из безопасности в финансы, топ-менеджмент и владельцев бизнеса. Как только они начинают видеть бизнес не как объект защиты, а как сложный механизм, в котором безопасность лишь один из процессов, они начинают мыслить не угрозами, уязвимостями, атаками и т.п., а эффективностью этого процесса.
Сегодня «путь инфобезопасника» в основном проходит через техническую безопасность – изучения алгоритмов шифрования, механизмов появления уязвимостей, методов их эксплуатации, типов атак и других инженерных дисциплин. По мере карьерного роста они проходят основы юриспруденции для реализации требований законодательства, методы управления персоналом, получают так называемые soft skills. Но экономика, финансы, бизнес-процессы так и остаются вне области их интересов.
В результате на постах начальников служб информационной безопасности оказываются немного прокачанные менеджментом технические специалисты, имеющие довольно отрывочные представления об экономике, финансах и построении бизнеса. Потому и бизнес относится к ним, как к сервису, который постоянно пугает нестрашными и редко сбывающимися угрозами и просит денег, угрожая проверками регуляторов. Переломить эту тенденцию может только инфобезопасник 2.0, который хорошо понимает объект защиты и принципы его функционирования, а не только методы и приёмы безопасности.
Жаль, что по мере повышения квалификации в сторону понимания бизнеса и своей роли в нём, безопасники стремятся покинуть информационную безопасность и переквалифицируются в экономическую безопасность, управление операциями или хотя бы в построение цифровых систем. А на их место снова приходят технари, стремящиеся защищать и пугать.
Поэтому пока грамотный безопасник не ушел в цифровые системы или еще куда, он может копаться в настоящей биг дате компании, поставлять качественную выборку, архиважную для принятия решений. А с современными требованиями к скорости принятия бизнес-решений мы понимаем, что все бегут очень быстро, мы же должны бежать еще и безопасно.
Автор — Рустэм Хайретдинов, генеральный директор Attack Killer, вице-президент ГК InfoWatch
Не люблю рисковый подход, в основе его лежит вероятность. Если события линейно связаны, как при подбросе монетки - с этим еще можно жить и можно просчитать. Если события не линейны - проблема. Если бы событие в анекдоте про диназавтра было линейным - тогда вероятность встречи с динозавром равнялась 0,5. Но мы живем в огромном океане статистических данных, которыми можно манипулировать по своему усмотрению. Риски - это то, что мы не можем однозначно предсказать из-за сложности моделирования процесса. Мы говорим о вероятности погоды, только потому что сложно просчитать все ее компоненты. А когда научимся это делать - понятие вероятности потеряет смысл. Проблема бизнеса в том, что топы не хотят слышать про риски. Риски везде: подскользнуться, потерять деньги. Все верно, когда говорим, что бизнес ищет возможности, а если всего бояться - это не бизнес. Инфобезу нужна другая модель оценки его эффективности. Мы предоставляем сервис для бизнеса. ИТ предоставляет сервис. Но ИТ не говорит, мол вот тебе канал связи или облачный ресурс, но с вероятностью 0,1 они могут падать, а еще с вероятностью 0,05 данные могут теряться. С точки зрения бизнеса это дичь. ИТ оперирует SLA. ИБ может делать также.
Либо можно оперировать фактами. Если у нас такая вот инфраструктура, то ее можно взломать за пять минут. Можно показать как и для бизнеса это будет показатель. Не риски, что нас взломают и нам нужно купить что-либо, а реальный кей показать на примере. Риски здесь только в том, что кто-то обратит на нас внимание или не обратит. Но людей специалистов в этом уже так много, что такой вероятность можно уже пренебречь. Мы показываем бизнесу практическую сторону, что нас может взломать даже школьник и от такого типа злоумышленника мы должны защищаться.
Вообще можно использовать разные модели ИБ, но риск-ориентированная считаю уже устарела, она для гос структур, для военных.
Также ИБ это не только операционка. Сами продукты стали цифровыми. Без безопасности нельзя сделать безопасный удаленный доступ, удаленную идентификацию, обслуживание клиента. Сам клиент просит подобные сервисы. ИБ как сервис является неотъемлемой частью ценообразования современного продукта или услуги и не учитывать ИБ уже просто нельзя.