Топ-3 заблуждений о кибербезопасности
Цель обеспечения информационной безопасности не в том, чтобы создать в компании информационную «крепость» – ведь в этом случае безопасность съест все средства организации или сильно замедлит бизнес. Поэтому логичнее сказать, что цели ИБ такие же, как у бизнеса в целом: минимизация рисков, оптимизация ресурсов и получение выгоды. Достигаются они развитием ИБ-систем, анализом киберугроз, разработкой и совершенствованием политик информационной безопасности, постоянной работой с персоналом для минимизации влияния того самого человеческого фактора.
Таким образом, помимо самих средств защиты для обеспечения ИБ, необходима развитая корпоративная культура. Потому что, вопреки мифу, цель ИБ – приносить пользу бизнесу. А мерило эффективности здесь – объемы прибыли, которые служба ИБ помогла получить компании.
Миф первый: «ИБ – это только средства защиты»
Технические средства, при помощи которых обеспечивается информационная безопасность, играют важнейшую роль. Повышенное внимание к ним – одна из составляющих повседневной работы специалистов по кибербезопасности. Но проектирование ИБ-систем, их эксплуатация, развитие и т. п. – только одна из задач ИБ-службы, не менее важную роль играет процессная часть работы. При этом она не связана с предупреждением рисков, в том числе человеческого фактора. Почему?
Дело в том, что внедрение мер информационной безопасности само по себе не гарантирует изменений в поведении пользователей, даже самые подробные описания процессов ИБ не обеспечивают их безусловного соблюдения. Человеческий фактор всё еще остается наиболее уязвимым элементом цепочки создания ИБ-ценности: дисциплина важна не меньше, чем защитные механизмы и процедуры.
Пример. Отдел разработки ПО обеспечен защищенными инструментами собственной разработки и коммуникации. При этом сотрудники продолжают совершать рискованные действия, такие как обмен файлами через общие диски или отправка конфиденциальных данных через мессенджеры. Процессы есть, инструменты тоже, нет только осознанности их безоговорочного применения, что связывает все элементы ИБ воедино.
Только введение ответственности за нарушения может способствовать улучшению ситуации. Например, непрохождение обучения ИБ может вести к лишению премий, а регулярные проверки на уязвимость сотрудников к фишингу и другие тесты позволят поддерживать ИБ-бдительность на должном уровне. Нарушителям предлагается дополнительное обучение, подкрепляемое информационным сопровождением и пропагандой правильного поведения.
Человек – самое слабое звено в системе кибербезопасности любой сложности. Именно через рядовых сотрудников злоумышленники сегодня чаще всего проникают в защищенные периметры организаций, распространяют в атакуемых инфраструктурах зловредное ПО, похищают или компрометируют данные, нанося жертвам многомиллионный ущерб.
Простая рассылка фишинговых сообщений с высокой долей вероятности окажется успешной. Это означает, что получатели фишингового сообщения введут свои учетные данные в фишинговый ресурс или откроют файл, содержащий зловредное ПО. В результате утечка данных, репутационный, юридический и финансовый ущерб.
Слабым звеном при этом может оказаться не только рядовой сотрудник. Известны случаи, когда в рамках учений, проводимых в компании службой безопасности, на удочку хакеров попадались сами руководители: приняв фишинговые письма за чистую монету, переходили по ссылкам, которые в них содержались.
Многие предприятия, в том числе крупные, страдают своего рода инфантилизмом. «Мы купили за серьезные деньги средства защиты и теперь надежно защищены», – думает среднестатистический начальник. К сожалению, так эффективная система информационной безопасности не работает. Постоянно появляются новые уязвимости, совершенствуются подходы к проведению кибератак, а также способы обхода внедренных в компании средств защиты, и зачастую компрометация инфраструктуры является вопросом времени.
Миф второй: «ИБ – кибер-ЧОП»
В глазах многих сотрудников, которые не имеют отношения к ИБ, безопасники представляются отдельной кастой. Что-то вроде спецслужбы или ЧОП внутри компании, задача которой – запрещать любые вольности, связанные с использованием информационных ресурсов.
Много лет назад аналогично воспринимались и сами ИТ-подразделения. Но со временем ИТ и бизнес сблизились, и порой уже невозможно провести четкую границу между бизнес- и технологическим блоками компании. Сегодня многие знают, что роли администраторов баз данных, разработчиков или DevOps-инженеров существенно различаются, но безопасников по-прежнему считают группой «людей в черном». На самом деле у каждого ИБ-специалиста своя роль:
- менеджер по ИБ определяет требования, анализирует риски и следит за соблюдением политик безопасности;
- ИБ-архитектор выстраивает из отдельных решений систему, которая эффективно противостоит угрозам;
- специалист по тестированию на проникновения оценивает построенную систему защиты, имитируя действия злоумышленника;
- а специалист DevSecOps или AppSec контролирует защищенность разрабатываемого ПО в компании.
У них есть руководитель – директор по информационной безопасности (CISO), в некоторых компаниях его роль выполняет CIO (ИТ-директор). Их задача не в том, чтобы всё запрещать, ограничивать, контролировать каждую активность, а за нарушения карать. Наоборот, цель ИБ – сделать так, чтобы каждый сотрудник понимал, что и от его действий зависят безопасность и успешность бизнеса компании.
У этого мифа есть еще одна сторона. Во многих компаниях считают, что содержание собственной ИБ-службы – неизбежное, но необходимое зло, поскольку затраты на таких сотрудников очень высоки. Это верно далеко не всегда, часто проще отдать направление на аутсорс.
Миф третий: «Безопасники за всеми следят»
Такая возможность у них действительно имеется, но подобные действия в их обязанности не входят, поскольку запрещены законом.
Возможны исключения, но только в тех случаях, когда компания предупреждает сотрудника (принимая его на работу или при изменении правил внутреннего распорядка) о том, что информация может собираться с использованием разных источников, которые относятся к его рабочему пространству, но не касаться ничьей частной жизни. И только с соблюдением всех формальностей ИБ-специалисты могут отследить переписку сотрудника, факт передачи данных, реальное время, потраченное на работу, посещенные интернет-ресурсы, установку и использование приложений или реальное местонахождение.
* * *
Осознание ложности таких мифов помогает понять, что информационная безопасность — комплексная дисциплина, требующая не только технических решений, но и развитой корпоративной культуры, осознания роли и активного участия каждого сотрудника.
Эффективность мер ИБ измеряется не только уровнем защиты от внешних угроз, но и способностью предприятия минимизировать внутренние риски, оптимизировать ресурсы и получать выгоду, сохраняя при этом доверие и уважение со стороны персонала.
Опубликовано 21.03.2024