Абсолютная безопасность – утопия?
Как построить систему информационной безопасности, чтобы она обеспечивала защиту на уровне, превосходящем тех, кто наименее подготовлен к угрозам.
Для начала хочу предложить провести небольшой и простой мысленный эксперимент: представьте себе, что вы в компании малознакомых людей идете по лесу и в какой-то момент обнаруживаете, что справа от тропы, по которой вы идете, сидит медвежонок, а слева – бежит разъярённая медведица.
Вы, как и другие люди принимаете решение, что настало время бежать. Задайте себе вопрос: «Имеет ли смысл бежать быстрее всех остальных?»
Мне кажется, что вполне логичная тактика поведения в подобной ситуации – это бежать быстрее последнего убегающего, поскольку медведицу в первую очередь будет интересовать именно он, но при этом не быть первым в этой гонке, потому что тот, кто бежит первый имеет высокий шанс первым же столкнуться с новой угрозой – медведем, волком или лосем.
Концепция построения эффективной системы информационной безопасности должна строиться на этих же принципах: не имеет смысла быть самой защищенной компанией среди подобных, важно быть более защищенной, чем наименее защищенные.
На чем держимся
Углубимся немного в теоретический основы информационной безопасности и подходов к определению оптимального уровня инвестиций в нее.
Согласно документу NIST SP 800-12 R1 «An introduction to Information Security» («Введение в информационную безопасность») – Информационная безопасность определяется как защита информации и информационных систем от несанкционированного доступа, использования, раскрытия, нарушения, изменения или уничтожения с целью обеспечения конфиденциальности, целостности и доступности. Другими словами, выстраивание системы информационной безопасности не должно противоречить трем основным принципам – сохранению конфиденциальности, целостности и доступности информации. Тут можно привести аналогию с мероприятиями по обеспечению физической безопасности жилья от проникновения злоумышленников – наверняка, желая обеспечить физически невозможное проникновение злоумышленников в квартиру мы можем заложить все двери и окна кирпичами и создать своего рода сейф, но даже в этом случае 100% безопасность не будет обеспечена (сейфы тоже вскрываются). С другой стороны, пользоваться таким жильем, скорее всего, будет невозможно.
Возвращаясь к защите информации – можно полностью изолировать информационную систему от окружающего мира, что, конечно, повысит степень защищенности информации (но не обеспечит абсолютную защиту) от злоумышленников, однако в этом случае мы рискуем нарушить как минимум принцип доступности информации. В реальной жизни подход к полной изоляции информационных систем не работает даже для узких сегментов АСУ ТП, не говоря уже про корпоративные сегменты сети организации. Таким образом, 100-процентная кибербезопасность в действующих компаниях недостижима.
Объем инвестиций – не панацея
Другим важным вопросом, связанным с процессом обеспечения информационной безопасности, является вопрос определения оптимального уровня инвестиций в нее. Это достаточно сложный вопрос, на который, к сожалению, нет универсального ответа. На мой взгляд, наиболее близки к ответу оказались учетные Лоуренс Гордон и Мартин Леб, которые в работе: «The Economics of Information Security Investment» («Экономика инвестиций в информационную безопасность») пришли к следующему выводу: «…анализ показывает, что для двух широких классов функций вероятности нарушения безопасности, оптимальная сумма расходов на информационную безопасность никогда не превышает 37% ожидаемых потерь в результате нарушения безопасности». Сложность применения этой модели на практике заключается в том, что требуется экспертная оценка объема ожидаемых потерь в результате наступления инцидента нарушения информационной безопасности, а также определения вероятности наступления такого события.
Развитие идей, заложенных в модели Гордона-Леба, получило в работе: «Information Segmentation and Investing in Cybersecurity» («Сегментация информации и инвестиции в кибербезопасность»). В данной статье раскрываются две важные мысли:
1. Сегментация и микросегментация сети – это эффективный способ оптимизации расходов, связанных с информационной безопасностью и суммарные оптимальные затраты на сегментированную сеть будут ниже, чем на не сегментированную.
2. Часть расходов на информационную безопасность должна быть потрачены на разработку и реализацию плана и инструментов восстановления после киберинцидента.
Будь как злоумышленник
Третья мысль, которую я хочу озвучить в этой статье – то, с чего я начал: когда мы сталкиваемся (или готовимся столкнуться) с внешней силой – очень хорошо понимать ее мотивацию. С нападением медведицы все относительно понятно – животное видит в нас угрозу своему потомству и нападает. Аналогично и со злоумышленниками, которые потенциально могут напасть на организацию – важно понимать почему и зачем они это могут делать. И тут тоже предлагаю посмотреть на экономический аспект такого нападения, поскольку он важен как для финансово-, так и для нефинансово-мотивированных злоумышленников. Финансово-мотивированные злоумышленники сравнивают потенциальную выгоду от взлома организации с затратами на организацию и проведение этого взлома, стремясь максимизировать свою выгоду. Задача ИБ в данном случае сделать так, чтобы взлом организации не был экономически целесообразен.
С нефинансово-мотивированными злоумышленниками немного сложнее. В подавляющем большинстве им не принципиально какую именно компанию в определенном сегменте бизнеса или государственной власти атаковать и тут действует тот же принцип – быть более защищенным чем «организация-сосед» (в данном контексте под «защищенностью» я понимаю, что на взлом одной организации злоумышленникам требуется привлечь больше ресурсов, чем на взлом другой аналогичной). Но есть редкие случаи, когда злоумышленникам принципиально важно взломать какую-то конкретную организацию. В таком случае это будет противостоянием на исчерпание ресурсов одной или другой стороной и, скорее всего, закончится поражением защищающейся.
Таким образом, вывод напрашивается сам собой: в действующих компаниях и организациях абсолютная кибербезопасность не только недостижима, но и не может являться целью при проектировании и внедрении средств и методов информационной безопасности. Понимание мотивации злоумышленников, стоимости компрометации собственных информационных систем, грамотный подход к инвестированию в ИБ и в план по восстановлению в случае наступления негативного события, позволяют минимизировать вероятность киберинцидента как такового.
Опубликовано 08.11.2024