Кибериспытание: как белые хакеры помогают обеспечить безопасный цифровой переход и защитить бизнес

Активное применение технологий делает бизнес эффективным, но и создает угрозы, с которыми многие компании ранее не сталкивались и бывают к ним не готовы. Киберугроза невидима, но это не делает её менее реальной. Сегодня кибератаки перестали быть сугубо технической проблемой, они способны парализовать организацию и нанести ей миллиардный ущерб. Часто кажется, что угрозы существуют где-то далеко, пока они внезапно не разрушают работу вашей компании.

О новой роли кибербезопасности в цифровом мире и механизмах ее обеспечения с привлечением белых хакеров, рассказал Вячеслав Левин, сооснователь проекта «Кибериcпытание».

В 2022 году, на фоне беспрецедентных санкций, российский бизнес столкнулся с чередой серьезных вызовов, связанных с адаптацией к новым реалиям. Все искали новые способы оплаты, новые логистические маршруты, аналоги иностранных финансовых и ИТ-сервисов, перенастраивали бизнес-процессы и пересобирали команду.

По России прокатилась череда хакерских атак, лишь малая часть которых стала известна широкой общественности. Это продемонстрировало неготовность большинства организаций обеспечить безопасность в новых условиях.

Нужно отдать должное, что уровень осведомленности по вопросам кибербезопасности среди топ-менеджеров существенно вырос, однако эта осведомлённость, в большинстве случаев, не создаёт условий для структурных изменений.

Многие руководители по привычке смотрят на кибербезопасность с точки зрения расходов и возможности их оптимизации, особенно на фоне серьезно выросших бюджетов на ИБ. Хотя правильнее было бы задать вопрос, позволяют ли мои инвестиции обеспечить необходимый уровень безопасности или нет.

Во многом это связано с тем, что большинство руководителей по-прежнему недооценивают степень влияния цифровых технологий на основные бизнес-процессы. Создается иллюзия, что хакерская атака — это техническая проблема, которая имеет мало общего с физическим миром. Но это уже давно не так. Текущий масштаб цифровизации позволяет хакеру дойти до точки, где компании можно нанести критический ущерб, вплоть до полного ее уничтожения.

Знаковые кибератаки

Отсидеться не удастся даже «не цифровым» бизнесам

Еще одно распространённое заблуждение руководителя — мнение, что низкий уровень цифровизации компании автоматически гарантирует невозможность причинить ей значимый ущерб хакерами. Нужно понимать, что современный цифровой мир не имеет границ, инфраструктура отдельной компании — всегда часть общего. Даже с низким уровнем цифровизации вы скорее всего взаимодействуете с внешним миром через цифровые каналы: это могут быть ваши подрядчики, партнёры, клиенты или государственные учреждения. Значит, этими же каналами могут воспользоваться хакеры, чтобы проникнуть как в вашу компанию и нанести критический ущерб вам а затем и вашим партнёрам.

Цифровизацию не отменить, поэтому необходимо осознать, что безопасность должна стать неотъемлемой частью цифровизации, иначе быть катастрофе. Бывает так, что в погоне за новым функционалом команда забывает про безопасность, но следует помнить: клиенты в первую очередь ожидают надежной работы сервиса, а уже потом думают об удобстве. Как клиент банка, я в первую очередь думаю о сохранности своих денег на счету, а уже потом — насколько мне удобен сервис переводов и насколько эргономично размещена кнопка «Отправить».

Безопасность не должна стать причиной остановки цифровизации, она должна занять соответствующее место. Это требует совместной работы подразделений, которые отвечают за информационную безопасность и тех, кто отвечает за сам бизнес.

Почему СЕО вообще должен заниматься кибербезопасностью

Главный вопрос, что значит заниматься кибербезопасностью. Очевидно, что СЕО не может и не должен превратится в директора по информационной безопасности (или CISO), у него и так много забот. Но генеральный директор должен иметь работающие механизмы влияния на безопасность, оставаясь на своем месте и без специальной подготовки. В конце концов, ему нести ответственность перед акционерами за критические последствия.

Одновременно с этим, многие директоры по ИБ воспринимают вовлечение бизнеса в вопросы кибербезопасности как угрозу и форму недоверия. Похожая ситуация наблюдалась в ИТ при переходе на продуктовый подход, когда бизнес-часть команды пыталась принимать решения, находящиеся вне зоны ее компетенции (например выбор языка программирования), что не находило понимание у айтишников. Однако успешные продуктовые команды научились эффективно работать сообща и, что не менее важно — добились состояния, когда вся команда несет ответственность за результат, вне зависимости от функциональной принадлежности каждого. Этого сильно не хватает в сфере кибербезопасности, где ответственность полностью лежит на CISO и его команде.

Что делать СЕО, чтобы повлиять на защищённость компании

Как всегда, все начинается с целеполагания. Важно понять, от чего ты хочешь себя обезопасить, определить бизнес-процессы, нарушение которых может привести к критическим потерям. Обычно такая задача решается достаточно легко — с привлечением ключевых руководителей компании (CFO, COO, CRO, CIO, CISO) формируются цели кибербезопасности на бизнес-языке. Цели должны быть понятными и измеримыми.

Ответственность СЕО заключается в том, чтобы эти цели были приняты на уровне организации, и у них появились соответствующие приоритеты.

Но просто поставить цели недостаточно, у генерального директора должен быть понятный инструмент проверки — достигнута цель или нет. Эта проверка должна быть объективной, релевантной и отражать факт защищённости, а не процесс ее достижения. Именно для решения этой задачи мы создали продукт «Кибериспытание», который оценивает реальную защищённость вашей компании силами независимых белых хакеров.

Сколько стоит вас взломать и нанести критический бизнес-ущерб

Чтобы понять, как измерить защищённость компании, нужно поговорить о том, как работают хакеры.

Хакерская атака — это цепочка действий, чаще всего, группы злоумышленников, которые шаг за шагом продвигаются к критическим элементам инфраструктуры компании, чтобы нанести ущерб. В зависимости от уровня защищённости организации, эта цепочка действий может быть длинной, занимать много времени, требовать особых компетенций или инструментов. Всё это, в итоге, формирует бюджет взлома.

Цель хакерской группировки — максимизация прибыли. Значит, стоимость взлома плюс риски должны быть компенсированы прибылью от атаки.

Да, сегодня многие компании столкнулись с хакерскими атаками идеологического характера, но это не отменяет существующих ресурсных ограничений у этих атакующих.

Новый инструмент объективной оценки киберзащиты для CEO

Чтобы СЕО мог получить ответ на вопрос, сколько будет стоить успешней взлом моей компании с критическими последствиями, мы создали новый инструмент и назвали его Кибериспытание.

На Кибериспытании вашу компанию пытаются взломать исследователи или по-другому, этические хакеры, задача которых — найти способ нанесения ущерба сегодня, чтобы его не нанесли реальные хакеры завтра. Исследователи имеют сопоставимую с злоумышленниками квалификацию и используют те же инструменты и методы, так мы можем сравнивать результаты их деятельности и необходимые ресурсы.

Мотивация исследователей построена на вознаграждении, которое они получат за демонстрацию подтверждённого способа нанести ущерб, но без реального ущерба. В зависимости от суммы вознаграждения, привлекаются исследователи с разной компетенцией и ресурсами. Соответственно, при увеличении вознаграждения растет экспертиза участников.

Если на Кибериспытании удалось получить результат за вознаграждение в несколько десятков тысяч рублей, скорее всего, это сделали начинающие исследователи, а уровень защиты компании очень низкий. С другой стороны, если исследователям не удалось реализовать цель при вознаграждении в несколько сотен миллионов рублей — защита в компании на высоте и вряд ли будет по зубам многим профессиональным группировкам.

Кибериспытания проводятся в несколько этапов

Стоимость Кибериспытания

Первая компонента связана с операционными расходами на проведение. Она покрывает подготовку к запуску, размещение на площадках, работу экспертного совета, а также необходимые процедуры по регулярной проверке промежуточных результатов испытания. На текущий момент, в среднем, это 2-3 миллиона рублей в год. И эта сумма существенно ниже доступных на рынке механизмов оценки.

Вторая компонента стоимости Кибериспытания — вознаграждение исследователям, которая выплачивается только в случае успешно найденного способа нанесения критического ущерба. Как мы обсуждали ранее, размер вознаграждения, позволяет управлять уровнем и количеством исследователей, необходимых для проверки, через рыночные механизмы. Чем выше вознаграждение, тем более опытные исследователи придут, тем более сложные методы проверки они будут применять.

Даже в случае выплаты исследователю существенной суммы, компания приобретает знание, что нужно сделать, чтобы катастрофа не произошла на самом деле. И цена этого знания несоизмеримо мала относительно цены возможных последствий.

Кибериспытание отличается от тестирования на проникновение и Bug Bounty

И тестирование на проникновение, и Bug Bounty — отличные инструменты, которые позволяют найти отдельные уязвимости и сделать защиту лучше. Но в отличие от Кибериспытания, они не дают ответ на вопрос, можно компании нанести критический ущерб или нет. А именно так звучит вопрос от СЕО.

Ещё одно преимущество Кибериспытания — количество участвующих в нём независимых исследователей. В тестировании на проникновение, как правило, участвует одна команда, а в кибериспытаниях могут быть десятки и сотни проверенных «белых» хакеров. У каждого из них будет своя уникальная экспертиза, что сделает проверку более разносторонней.

Если сравнивать с классическим Bug Bounty, куда обычно выносят только публичную часть продукта, то на Кибериспытании исследователи оценивают безопасность всей инфраструктуры компании.

Мы даем исследователям максимальную свободу при выборе инструментов. Они могут использовать любые методы — от фишинга до социальной инженерии — точно так же, как действовали бы злоумышленники.

Хакерское мышление — наше конкурентное преимущество

Как формулируется в одном справедливом высказывании, для того чтобы оставаться на месте, нужно бежать. Однако, вариант оставаться на месте нас не устраивает, поэтому нужны искать нестандартные решения с учетом имеющихся ограничений и возможностей. Для этого и нужно хакерское мышление, которое должно стать нашим конкурентным преимуществом.

Лично мне белые хакеры нравятся тем, что эти ребята мало говорят и работают на результат. Даже в Кибериспытании исследователь получает вознаграждение, только в случае достижения цели, то есть он может долго работать и не получить ничего. Как минимум, это заслуживает уважения.

Хакерское мышление доказало свою состоятельность в индустрии кибербезопасности — у нас есть успешные компании и продукты, способные конкурировать на международном рынке. Необходимо развивать этот успех. Поэтому одной из главных задач Кибериспытания — чтобы появилось больше высокопрофессиональных исследователей. Это приведёт к повышению общей безопасности страны и к появлению новых интересных компаний и инновационных продуктов.

Мы обеспечиваем безопасность Кибериспытаний

Безопасность, это самый частый вопрос наших клиентов. И отвечая на него, нужно понимать, что существуют фундаментальная и техническая сторона вопроса.

Фундаментальная сторона вопроса состоит в том, что запуск Кибериспытания не создаёт дополнительных рисков для компании. Исследователь не получает какой-либо информации, которая помогла бы ему достичь цели. Всё, что у него есть, доступно из открытых источников.

Это так же снимает часто задаваемый вопрос, а если белый хакер не белый? Еще одним заблуждением является размышление о том, что Кибериспытание — это реклама для «черных» хакеров, «Приходите, взламывайте меня!». Эти ребята точно работают не по объявлениям, они не будут ждать Кибериспытания, чтобы попытаться вас взломать.

Наоборот, само нахождение на Кибериспытании может оттолкнуть злоумышленников, так как оно свидетельствует об определённой зрелости безопасности в компании.

Теперь давайте поговорим о технической стороне вопроса. Во-первых, Кибериспытание проводится в режиме полного противодействия со стороны служб компании, которые отвечают за безопасность. Они не сидят и не смотрят, что делают исследователи, они реагируют, как на любого другого злоумышленника. Поэтому Кибериспытание позволяет выявить не только недостатки в технологиях, но и в процессах и компетенциях.

Во-вторых, если компания, по каким-то причинам, может работать только с ограниченным списком исследователей или есть специальные требования к ним, это тоже можно сделать. Но мы не рекомендуем вводить ограничения, так как это сильно снижает эффективность.

И еще — страхуем бизнес

Еще одна возможность, которую открывает Кибериспытание — это доступ к принципиально новому продукту страхования.

Наша команда совместно с ключевыми игроками российского рынка страхования (Согаз, Ингосстрах, Альфа Страхование и ПСБ Страхование) разработали совместный продукт, который позволяет на основе успешно пройденных Кибериспытаний застраховать критические риски. Чем выше размер вознаграждения исследователям, при котором успешно пройдено Кибериспытание, тем выше лимит страхового покрытия и лучше условия для компании.

Уже сейчас мы готовы предлагать лимит более миллиарда рублей и продолжаем работать над его увеличением.

Страхование — еще один способ сделать кибербезопасность более понятной для бизнеса.

Текущие условия требуют пересмотра традиционной роли CISO как охранителя. Задача нового CISO — обеспечить развитие бизнеса, но с обеспечением соответствующего уровня безопасности. Это позиция полноценного бизнес-партнёра, голос которого важен и должен быть услышан. Для этого нужны инструменты донесения важности вопроса кибербезопасности до топ-менеджмента, их вовлечения и сотрудничества. Именно это даёт Кибериспытание.

Любой опытный CISO знает, что существует гораздо больше одного способа нанести критический ущерб компании. Обладая достаточным критическим мышлением, можно прийти к заключению, что некоторые из таких способов могут быть неизвестны внутренней команде. Поэтому мы не рассматриваем Кибериспытание, как инструмент оценки работы CISO и его команды, а лишь даем ему дополнительную возможность стать полноценным бизнес-партнёром, который играет на опережение. Это, в свою очередь, требует определенной зрелости от СЕО и правильного восприятия инструмента.

Если быть максимально честным, операционно мы создаем для CISO дополнительную нагрузку. Но зато решаем фундаментальные вопросы и открываем для них новые возможности.

Мы развиваем Кибериспытания, как универсальный язык, который поможет всем заинтересованным в безопасности оказаться на одной стороне

Методика

В основе Кибериспытания лежит методика, которая была разработана участниками профессионального ИБ-сообщества и позволяет получить однозначный ответ об уровне защищённости компании, на универсальном языке, понятном и людям без специальной подготовки.

Это универсальная оценка, с которой будут согласны все — компании, которые находятся на Кибериспытании, исследователи, которые участвуют в нем, или любая заинтересованная третья сторона (например, страховые компании). Обладая таким инструментом, вы можете решать разные вопросы.

Универсальный язык позволяет настроить качественно иной уровень взаимодействия с поставщиками услуг ИБ. При формировании технического задания компания может определить в качестве критерия приемки работ успешное прохождение Кибериспытания с определённой суммой вознаграждения исследователям. Это выглядит достаточно радикально относительно текущего подхода с подписанием актов о выполненных работах, зато позволяет получить реальный результат, влияющий на уровень безопасности.

Думаю, что не все подрядчики будут готовы работать по такому принципу, когда нужно отвечать за свой результат, но со временем это станет нормой.

Экспертный совет и белые хакеры

Все эти возможности стали доступны благодаря доверию к Кибериспытанию, которое основано на объективной и независимой оценке. Независимость и объективность гарантируются двумя сторонами — белыми хакерами и экспертным советом.

Про белых хакеров мы уже поговорили, давайте теперь поймем, что такое экспертный совет и зачем он нужен.

Экспертный совет — коллегиальный орган, который состоит из людей с непререкаемым авторитетом в индустрии кибербезопасности, который они заслужили, работая в компаниях–технологических лидерах. Эти люди участвуют в Кибериспытании на протяжении всего времени его проведения, от согласования условий до подведений итогов. Экспертный совет является саморегулируемой организацией, т.е. он сам определяет состав своих членов в соответствии с определенными требованиями. При подведении итогов, каждый член экспертного совета, который участвовал в конкретном Кибериспытании «ставит на кон» свою репутацию. Таким образом, компания фактически получает оценку не от юридического лица АО «Кибериспытание» (владелец Кибериспытания), а от коллективной индустрии ИБ.

В текущий состав экспертного совета входят ведущие специалисты Яндекса, Лаборатории Касперского, Positive Technologies, BI.ZONE, 3 Side, Т-Банк, Wildberries и других технологических компаний.

Ситуация, в которой оказались российские компании и организации сегодня, — часть грядущих изменений мирового масштаба. Рост кибератак из-за геополитических событий подсветил риски цифровизации и то, в каком направлении нужно двигаться.

В чем прелесть безопасности, она работает или не работает вне зависимости от рейтингов, качественного маркетинга и других инструментов продвижения. Мы предлагаем безопасность, которая работает, и это можно объективно проверить. Такой результат востребован в мире, и сегодня у нас есть возможность вырваться вперед и изменить роль России на глобальном рынке кибербезопасности.

Главное — успеть воспользоваться окном возможностей, которое точно не будет открытым долго.

Кибериспытания — система координат, которая понятная индустрии ИБ, бизнесу, государству

Чтобы строить безопасность на уровне страны, у вас должны быть безопасные элементы. Поэтому важно объединить усилия вокруг этой задачи: обмениваться опытом, создавать коллективные инструменты безопасности. Это надкорпоративная цель, на которую должна работать вся индустрия ИБ, в том числе с вовлечением CISO, имеющих кросс-отраслевое видение.

У нас уже есть примеры, когда разработчики ИБ-решений выходят на Кибериспытания, чтобы быть уверенными, что через их продукты и сервисы злоумышленники не смогут нанести критический ущерб компаниям-клиентам. Но таких примеров должны быть сотни и тысячи.

КЕЙС: Кибериспытание для Innostage

Мы должны осознать, что продолжать бороться за существующий рынок существующими методами бессмысленно

Если мы хотим воспользоваться моментом и совершить квантовый скачок, заняв существенную долю мирового рынка кибербезопасности, нам нужно объединятся. Объединение поможет создать новый рынок и новый спрос, где каждая компания, разделяющая общие цели, найдет возможность реализовать свои амбиции.

Это не только объединение компаний из кибербезопасности — нужны разные силы, чтобы решить такую большую задачу. Кто-то создает классные продукты, кто-то умеет их правильно применять, кто-то обеспечивает независимую оценку, кто-то готовит кадры, кто-то хорошо продает. Главное всем вместе обеспечить результат.

Такое объединение уже происходит на базе фонда развития результативной кибербезопасности Сайберус, частью которого является проект Кибериспытание. И чем больше будет участников, которые разделяют наши ценности, готовы отвечать за результат и заинтересованы в его масштабировании на глобальном уровне, тем быстрее мы добьёмся поставленных задач.

Профессионалов ИБ мы приглашаем стать соавторами индустриальной методики оценки кибербезопасности, а также членами экспертного совета, которые не только занимаются оценкой уровня защищенности отдельных компаний, но и решает задачу обмена опытом для формирования безопасности на национальном уровне.

Ну и, конечно, приходите на Кибериспытание, чтобы стать одним из защищенных элементов российской экономики.