Как заставить отдел ИБ приносить прибыль
Бизнес привык считать, что отдел информационной безопасности – подразделение необходимое, но исключительно затратное. Исследование Positive Technologies показало, что большинство российских промышленных и транспортных компаний тратит на информационную безопасность менее 50 млн рублей в год. Представители других секторов рынка (кроме финансовых и госструктур) и того меньше. При этом больше четверти организаций оценили в равную сумму ущерб за один день простоя из-за кибератаки. Еще 30% потеряли бы (или уже потеряли) от 2 до 49 млн рублей в день. А ущерб российского бизнеса от кибератак, по данным аналитического центра НАФИ, в 2017 году составил 116 млрд рублей. С кибератаками сталкивалась примерно половина предприятий, а деньги потеряла почти четверть.
По сути перед нами статистика убытков, вызванная современным ландшафтом и трендами киберугроз, где возможные дневные потери компании от единственного взлома сравнимы с ее годовыми инвестициями в информационную безопасность. И цифры эти неполные. Практика показывает, что во многих компаниях, иногда даже крупных, нет ни SIEM-решений, ни EDR, не говоря уже о SOC, — то есть нет систем мониторинга, и инциденты даже отследить невозможно.
Иными словами, ИБ, так же как и любая безопасность – от промышленной до конкурентной, – прямо влияет на бизнес. И значит, она должна стать бизнес-функцией, а не просто списком раскрытых инцидентов и предотвращенных атак. Как этого достичь?
Семь шагов к прибыльной киберзащите
Шаг 1. В первую очередь нужно регулярно (лучше раз в месяц) рассчитывать, сколько денежных потерь предотвращено с помощью вашего ИБ-отдела, как быстро отражаются атаки и предотвращаются угрозы.
Шаг 2. Затем, с учетом суммы возможных инвестиций, – сколько удается сэкономить за счет каждого потраченного на кибербезопасность рубля.
Шаг 3. Чтобы уменьшить суммы потерь, нужно разработать приемлемый для вашей компании достижимый и повторяемый метод «умного» анализа угроз и превентивного отражения атак. То есть действовать еще быстрее и еще раньше, чем вероятный кибервзломщик и похититель важных данных.
Шаг 4. Чтобы улучшить доходность бизнеса, этот комплекс мер должен быть обязательно интегрирован в рабочие процессы компании на вашем уровне зрелости.
Шаг 5. А значит – нужна соответствующая стратегия безопасности и разумные инвестиции с учетом метода, созданного на шаге 3. Об их критериях расскажу чуть ниже.
Шаг 6. Для разумной экономии и использования инвестиций, несомненно, следует определить ваш уровень зрелости обнаружения угроз.
Шаг 7. И наконец, нужно проанализировать степень устойчивости вашей защитной инфраструктуры после таких инвестиций и отслеживать ее прогресс (уменьшение утечек, рост числе предотвращенных угроз и т. д.).
Разберемся подробнее с некоторыми пунктами этой стратегии.
Семь точек экономии и прибыльности, на которые влияет ИБ
В каких случаях инвестиции в ИБ действительно уменьшают убытки и увеличивают прибыль компании? Вот семь причин незамедлительно вкладываться в кибербезопасность ради будущих доходов:
1. Разрушительный инцидент, или риски финансовых и репутационных потерь. Гром уже грянул, финансовые и репутационные потери после взлома подсчитаны, проблема повториться не должна. При этом очевидно, что проще предупредить угрозу, чем ее устранить.
2. Соответствие регламентам, стандартам и требованиям – от корпоративных до государственных. Хорошая компания — защищенная компания, особенно если того требуют контролирующие органы или перспективный тендер.
3. Конкурентная борьба. Во-первых, выживать на рынке – значит по возможности выходить в прибыль. Потеря ценных данных, сбой в работе компании и другие последствия хакерских атак – это убыток. Зачастую крупный. Во-вторых, конкурентная разведка не гнушается любых методов и часто пользуется услугами хакеров.
4. Сокращение затрат. Реальность такова, что защита обходится дешевле взлома. А еще существуют государственные штрафы и судебные взыскания: первый крупный спор «о несоответствующем уровне защиты», когда Департамент безопасности США взыскал со взломанного хакерами субподрядчика $1,3 млн, случился аж в 2009 году.
5. Слияние, консолидация, централизация, укрупнение бизнесов. Здесь нужны прозрачность и умная аналитика, особенно когда киберзащита предоставляется централизованно, из головного офиса, и руководству нужно видеть «все риски и сразу». То же справедливо при оценке рисков до заключения решающей сделки (due diligence).
6. Забота о клиентах. Даже самый лояльный клиент охладеет к вам после кражи его финансовых или персональных данных.
7. Коллективная, социальная ответственность. Вы – оборонное или госпредприятие, госпиталь или объект критической инфраструктуры? Брешь в вашей защите может стать серьезной трагедией для многих людей и, как следствие, — доказательством вашей неэффективности.
Пять уровней ИБ-зрелости компании для разумных инвестиций
Нерациональные траты обычно бывают двух видов: когда денег вложено слишком мало или слишком много. В случае с ИБ подобрать правильный объем и зону приложения инвестиций удается не всегда. Для этого аналитик Дэвид Бьянко создал модель зрелости обнаружения угроз.
«Начинающий» (уровень 1)
Согласно классификации Бьянко, если вы не собираете дополнительные данные о ваших ИТ-системах и вам хватает сервисов автоматического оповещения и обнаружения вторжений типа IDS и SIEM, то вы в распознавании угроз новичок. Вы даже можете создавать собственные сигнатуры или индикаторы, но ваши усилия сосредоточены на опознанных сервисом сбоях и зловредах.
Однако здесь я позволю себе не согласиться с исследователем и высказать мнение, что «Начинающий» уровень – это даже не SIEM, а антивирусы и простейший МСЭ типа stateful firewall. Будем считать его нулевым уровнем.
«Минималист» (уровень 2)
Предпочитаете автоматическое распознавание как основу борьбы с киберинцидентами, но уже собираете несколько типов данных о состоянии ИТ-компонентов вашей компании. И, вполне возможно, насобирали немало, что позволяет извлекать ключевые индикаторы из ваших отчетов и статистики. Любите «умные» инструменты и слова вроде «поведенческий анализ пользователя», прислушиваетесь к выводам экспертов.
«Педант» (уровень 3)
Главное для вас – внедрить нужные процессы. У вас достаточно исходных данных и понимания, что с ними делать, поэтому вы способны перенимать и адаптировать известные техники распознавания вредоносной активности конкретного типа. А ваш ИТ-директор «видел все подозрительные бинарники в лицо». Методики внедряются на регулярной основе, развиваются обширные планы по предотвращению угроз, однако базы для разработки собственных процессов вам пока не хватает.
«Инноватор» (уровень 4)
Ваши ИБ-специалисты способны применять различные техники анализа данных для пресечения возможных атак. Да и сами вы на чужие процессы не полагаетесь: ваши собственные наработки отвечают требованиям достижимости и повторяемости. Все задокументировано, а процесс сбора и обработки данных включает в себя умные алгоритмы и машинное обучение. Одна проблема – все это великолепие не очень удобно масштабировать. Число ваших процессов со временем растет – сложно выполнить их все по разумному графику без найма дополнительных аналитиков.
«Лидер» (уровень 5)
Выше только звезды. Вы обогнали «инноватора» в одном – почти всё автоматизировали (или стремитесь к этому). Ваши аналитики наконец нашли время для оптимизации киберзащиты и сфокусировались на улучшении существующих процедур и создании новых эффективных процессов обнаружения, устранения и предотвращения угроз.
Как тратить и окупать
Для начала поймем, на что и как тратить. То есть спрогнозируем инвестиции в распознавание угроз в соответствии с вашим уровнем ИБ-зрелости. У вас есть пять зон затрат: на архитектуру, на пассивную оборону, на активную оборону, на разведку и, как ни странно, на контратаку (то есть проактивную киберзащиту).
Архитектура – это системы и сети, а значит, любая компания (от «начинающего» до «лидера») должна заботиться о ее безопасности. Пассивная защита – основа для «начинающего» и «минималиста», «педант» уже пользуется (а значит, должен инвестировать) в защиту активную и частично в информационную разведку (так называемый Threat Intelligence), если хочет стать «инноватором». Ну а два верхних уровня активно пользуются не только тремя предыдущими методами, но и разведкой и контратакой.
Если вкладываться в продвинутые для вашего уровня способы защиты без развития инфраструктуры (то есть по сути без стремления перейти на другой уровень), то ваши инфраструктурные ограничения снизят эффективность любой методики. Зона инвестиций растет вместе с ИБ-зрелостью компании. При этом если не обеспечить должную безопасность на базовом уровне, например не поддерживать защищенную архитектуру компании или неверно настроить пассивную защиту (она включает данные о сети, работу антивирусов и брандмауэров), забыть о формировании отчетов от разных систем и устройств, – никакой, даже самый интеллектуальный инструмент или экспертная ИБ-платформа не помогут.
Здесь возникает вопрос: как перейти от пассивной защиты в активную и начать анализировать возможные угрозы? Попробуйте адаптировать удачную гипотезу угроз в качестве примера. Подбор гипотезы стоит начать с анализа ключевых ценностей (активов и данных) компании и спрогнозировать шаги злоумышленника по их хищению.
Если вам требуются инвестиции в команду, то пропорции и число штатных и приглашенных экспертов зависят от вашей стратегии и уровня компании. Собственный специалист лучше разбирается во внутренних процессах и наделен кредитом доверия, а внешние эксперты видели немало инцидентов и самых невероятных угроз и могут шире взглянуть на ситуацию, воспользоваться контекстом угроз.
Опубликовано 03.05.2018