Абсолютная безопасность – утопия?

Логотип компании
Абсолютная безопасность – утопия?
Как построить систему информационной безопасности, чтобы она обеспечивала защиту на уровне, превосходящем тех, кто наименее подготовлен к угрозам.

Для начала хочу предложить провести небольшой и простой мысленный эксперимент: представьте себе, что вы в компании малознакомых людей идете по лесу и в какой-то момент обнаруживаете, что справа от тропы, по которой вы идете, сидит медвежонок, а слева – бежит разъярённая медведица.

Вы, как и другие люди принимаете решение, что настало время бежать. Задайте себе вопрос: «Имеет ли смысл бежать быстрее всех остальных?»

Мне кажется, что вполне логичная тактика поведения в подобной ситуации – это бежать быстрее последнего убегающего, поскольку медведицу в первую очередь будет интересовать именно он, но при этом не быть первым в этой гонке, потому что тот, кто бежит первый имеет высокий шанс первым же столкнуться с новой угрозой – медведем, волком или лосем.

Концепция построения эффективной системы информационной безопасности должна строиться на этих же принципах: не имеет смысла быть самой защищенной компанией среди подобных, важно быть более защищенной, чем наименее защищенные.

На чем держимся

Углубимся немного в теоретический основы информационной безопасности и подходов к определению оптимального уровня инвестиций в нее.

Согласно документу NIST SP 800-12 R1 «An introduction to Information Security» («Введение в информационную безопасность») – Информационная безопасность определяется как защита информации и информационных систем от несанкционированного доступа, использования, раскрытия, нарушения, изменения или уничтожения с целью обеспечения конфиденциальности, целостности и доступности. Другими словами, выстраивание системы информационной безопасности не должно противоречить трем основным принципам – сохранению конфиденциальности, целостности и доступности информации. Тут можно привести аналогию с мероприятиями по обеспечению физической безопасности жилья от проникновения злоумышленников – наверняка, желая обеспечить физически невозможное проникновение злоумышленников в квартиру мы можем заложить все двери и окна кирпичами и создать своего рода сейф, но даже в этом случае 100% безопасность не будет обеспечена (сейфы тоже вскрываются). С другой стороны, пользоваться таким жильем, скорее всего, будет невозможно.

Возвращаясь к защите информации – можно полностью изолировать информационную систему от окружающего мира, что, конечно, повысит степень защищенности информации (но не обеспечит абсолютную защиту) от злоумышленников, однако в этом случае мы рискуем нарушить как минимум принцип доступности информации. В реальной жизни подход к полной изоляции информационных систем не работает даже для узких сегментов АСУ ТП, не говоря уже про корпоративные сегменты сети организации. Таким образом, 100-процентная кибербезопасность в действующих компаниях недостижима.

Объем инвестиций – не панацея

Другим важным вопросом, связанным с процессом обеспечения информационной безопасности, является вопрос определения оптимального уровня инвестиций в нее. Это достаточно сложный вопрос, на который, к сожалению, нет универсального ответа. На мой взгляд, наиболее близки к ответу оказались учетные Лоуренс Гордон и Мартин Леб, которые в работе: «The Economics of Information Security Investment» («Экономика инвестиций в информационную безопасность») пришли к следующему выводу: «…анализ показывает, что для двух широких классов функций вероятности нарушения безопасности, оптимальная сумма расходов на информационную безопасность никогда не превышает 37% ожидаемых потерь в результате нарушения безопасности». Сложность применения этой модели на практике заключается в том, что требуется экспертная оценка объема ожидаемых потерь в результате наступления инцидента нарушения информационной безопасности, а также определения вероятности наступления такого события.

Развитие идей, заложенных в модели Гордона-Леба, получило в работе:  «Information Segmentation and Investing in Cybersecurity» («Сегментация информации и инвестиции в кибербезопасность»). В данной статье раскрываются две важные мысли:

1.     Сегментация и микросегментация сети – это эффективный способ оптимизации расходов, связанных с информационной безопасностью и суммарные оптимальные затраты на сегментированную сеть будут ниже, чем на не сегментированную.

2.     Часть расходов на информационную безопасность должна быть потрачены на разработку и реализацию плана и инструментов восстановления после киберинцидента.

Будь как злоумышленник

Третья мысль, которую я хочу озвучить в этой статье – то, с чего я начал: когда мы сталкиваемся (или готовимся столкнуться) с внешней силой – очень хорошо понимать ее мотивацию. С нападением медведицы все относительно понятно – животное видит в нас угрозу своему потомству и нападает. Аналогично и со злоумышленниками, которые потенциально могут напасть на организацию – важно понимать почему и зачем они это могут делать. И тут  тоже предлагаю посмотреть на экономический аспект такого нападения, поскольку он важен как для финансово-, так и для нефинансово-мотивированных злоумышленников. Финансово-мотивированные злоумышленники сравнивают потенциальную выгоду от взлома организации с затратами на организацию и проведение этого взлома, стремясь максимизировать свою выгоду. Задача ИБ в данном случае сделать так, чтобы взлом организации не был экономически целесообразен.

С нефинансово-мотивированными злоумышленниками немного сложнее. В подавляющем большинстве им не принципиально какую именно компанию в определенном сегменте бизнеса или государственной власти атаковать и тут действует тот же принцип – быть более защищенным чем «организация-сосед» (в данном контексте под «защищенностью» я понимаю, что на взлом одной организации злоумышленникам требуется привлечь больше ресурсов, чем на взлом другой аналогичной). Но есть редкие случаи, когда злоумышленникам принципиально важно взломать какую-то конкретную организацию. В таком случае это будет противостоянием на исчерпание ресурсов одной или другой стороной и, скорее всего, закончится поражением защищающейся.

Таким образом, вывод напрашивается сам собой: в действующих компаниях и организациях абсолютная кибербезопасность не только недостижима, но и не может являться целью при проектировании и внедрении средств и методов информационной безопасности. Понимание мотивации злоумышленников, стоимости компрометации собственных информационных систем, грамотный подход к инвестированию в ИБ и в план по восстановлению в случае наступления негативного события, позволяют минимизировать вероятность киберинцидента как такового.

Читайте также
Еще совсем недавно от западных облачных сервисов зависело 30% крупных российских компаний. Их отключение, порой внезапное, должно было поставить рынок перед сложными вызовами. Но оказалось, что российские облака готовы предложить рынку вполне зрелые решения. Это и многое другое обсудили участники круглого стола IT-World «Импортозамещение в облаках».

Опубликовано 08.11.2024

Похожие статьи