Культура информационной безопасности
Впервые понятия «безопасность» и «культура» встречаются в докладе Международной консультативной группы по ядерной безопасности в 1986 году после всеми нами известной катастрофы в СССР. Сейчас данные понятия уже не кажутся несовместимыми и встречаются повсеместно. С каждым годом количество угроз и атак на частные и государственные компании растут в пугающем масштабе, также, как и финансовые потери от них. Общий ущерб от киберпреступлений оценивается в 165 млрд. рублей только в России, совокупный ущерб в мире от данного вида преступлений доходит до сотен миллиардов долларов США. В 2022 году Россия находилась на первом месте по количеству кибератак. Попробуем найти причины такой статистики и как благодаря несложным правилам ее можно снизить.
Культура информационной безопасности начала развиваться в России примерно с середины 2010-х годов. До этого момента особое внимание информационной безопасности уделяли единицы компаний, в основном это IT-компании и крупные кредитные организации. Это объясняется тем, что потери компаний от утечек конфиденциальных данных были не столь велики и внедрять изощренные организационные и программно-аппаратные средства не было очевидным делом. Но жизнь идет вперед и теперь об информационной безопасности говорят, как об очень важном аспекте работы многих компаний. Но одно дело говорить, а другое дело применять меры ИБ на практике.
«Все что удобно- не безопасно, все что безопасно – неудобно». Таков негласный закон ИБ, который обозначает, что человек будет делать так, как он привык, как ему удобно, но это к сожалению, не всегда безопасна. «Пока гром не грянет, мужик не перекрестится». Эта пословица уместна во всех сферах нашей жизни, информационная безопасность не исключение. Когда вы слышите об утечке каких-либо данных в известной компании, многие уверены, что с ними такого точно не произойдет. Многие руководители компании смотрят «сквозь пальцы» на ИБ, ведь элементы ИБ стоят немалых денег, а эффект от их внедрения не всегда очевиден. В 2022 году у многих компаний затруднительное финансовое положение, и денег на ИБ зачастую просто нет. Но приведу лишь несколько последствий утечек данных для компании:
1. Имиджевые потери, люди не захотят связываться с компанией, у которой регулярно похищают личные данные клиентов;
2. Прямые финансовые потери как следствие из пункта 1;
3. Необходимость затрат на устранение последствий, что может быть гораздо дороже профилактики.
4. Ослабление позиций в конкурентной борьбе;
5. Утрата технологических секретов и других новшеств.
И это, разумеется, далеко не все последствия.
Культура ИБ в нашей стране все еще находится на невысоком уровне. Это подтверждает один факт – 94 % кибератак начинаются с вредоносного сообщения электронной почты, то есть с фишинга. Это означает, что почти во всех случаях утечек данных виноваты неквалифицированные сотрудники. Также компания Positive Technologies утверждает, что внешний злоумышленник может проникнуть в локальную сеть 93% предприятий. Человек – самое слабое звено ИБ, поэтому если стоит задача кратно улучшить ИБ в компании, необходимо прежде всего развивать культуру ИБ. Но как же этого добиться?
В этом деле не работает «метод пряника». С огромной долей вероятности можно утверждать, что сотрудники не будут выполнять требования политики информационной безопасности добровольно. Причин здесь несколько. Во-первых, сотрудники могут просто не понимать зачем им терпеть эти неудобства, связанные с ИБ, во-вторых, элементарная лень. Чаще всего вторая причина возникает из первой. Поэтому далее приведу несколько несложных принципов, с которых можно начать прививать культуру ИБ.
1. Необходимо всем понять, какую пользу компании, обществу, государству несет информация, с которой вы работаете, а также какой вред она может нанести, если попадет не в те руки.
2. Понять, как ваши коллеги работают с конфиденциальной информацией. Разобрать ситуации, из-за которых может случится утечка данных.
3. При найме новых сотрудников крайне важно проводить обучение основам информационной безопасности.
После принятия этих несложных принципов, будет меньше таких явлений как запись на бумажку паролей от корпоративных учетных записей, паролей типа «12345678» или оставления без присмотра важной конфиденциальной информации.
В современных компаниях больше внимание уделяется комфорту сотрудников, поэтому применять жесткие меры даже в области ИБ довольно сложная задача, необходим баланс между правилами и свободой. Поэтому понимание и чувство ответственности за свою работу и информацию, с которой тебе приходится иметь дело работает лучше страха наказания. Лучший ключ к эффективному внедрению культуры информационной безопасности – общение с сотрудниками и понимание их проблем.
Для продвижения культуры безопасной разработки и повышения понимая проблем безопасности разработчиками, некоторыми компаниями внедряются следующие практики:
· Многие компании привлекают внешнюю экспертизу для поиска уязвимостей в инфраструктуре. Это недешево, но, если сравнивать это с ценой потенциальных убытков, такая мера уже не кажется накладной.
· В современных реалиях при использовании Scrum/Agile моделей важно в каждой команде иметь хотя бы одного человека, который может выступать проводником ваших рекомендаций и «болеть» за безопасность продукта. В идеале нужна полноценная security-экспертиза в каждой команде, но ресурсов всегда не хватает. Через какое-то время из Security Champion может вырасти Devsecops или Application Security специалист, так что это неплохая возможность сменить фокус для продуктового инженера или разработчика.
В этой статье я поделюсь практическими наработками из опыта своей компании по организации эффективной коммуникации при создании ПО на заказ.
Конечно, крупные ИT- компании понимают, что такое информационная безопасность и предпринимают очень много мер для защиты данных, но не все в их силах. Одной из самых больших проблем в области в ИБ в данный момент является большая нехватка специалистов. Причем эта проблема присуща не только России, но и многим другим государствам. Для решения этой проблемы в 01.05.2022 года вступил в силу указ Президента России № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», который подразумевает привлечение до 30 тысяч высококвалифицированных специалистов. Однако, как утверждают специалисты ИБ, в данный момент дефицит специалистов составляет около 50 тысяч.
Какие же еще меры необходимо ввести в компании для повышения культуры ИБ? Мои предложения следующие:
· Внедрить специализированные учебные треки для управления на разных уровнях (управление рисками информационной безопасности, технологические нюансы, новые угрозы, защита от целевых атак);
· Запустить канал для анонимных сообщений о нарушениях информационной безопасности;
· Внедрить прозрачный KPI безопасности для управления продуктом;
· Мотивация и конкурентоспособность, хороший уровень безопасности продукции должны быть предметом гордости и поощрения;
· Использовать высокий и проверенный уровень безопасности продукции для получения конкурентных преимуществ.
Иван Петров, преподаватель Департамента информационной безопасности Финансового университета
Опубликовано 10.01.2023