Недопустимые события. Хорошо забытое старое?
Помните ли вы 13-ю серию «Ну, погоди!» про Олимпиаду-80? Там есть фрагмент, в котором Волк, в очередной раз погнавшись за Зайцем, вбегает на стадион и, вместо того чтобы сесть на обычный велосипед, садится на велотренажер и начинает яростно крутить педали. Ближний план наезжает, и мы видим спидометр, на котором стрелка приближается к заветной цифре 100. Но в реальности Волк движется на месте. Это очень хорошая иллюстрация поведения большинства специалистов по кибербезу, которые являются заложниками складывающейся годами ситуации. Мы все стремимся достичь 100% чего-то - аттестации, импортозамещения, безопасности, борьбы с угрозами и так далее.
Однако на самом деле мы забываем, чего в действительно от нас ждет работодатель. В учебниках мы читали или в институте проходили, что кибербезопасность – это процесс. Но мы забываем, что у любого процесса должен быть результат. И вот когда мы начинаем задумываться об этом, то наступает прозрение.
Итак, что думает директор по ИБ о своей роли? Ему надо бороться с угрозами. Он по привычке ищет уязвимости, он их устраняет, он пытается снизить количество инцидентов, ставит себе некие метрики, например, что инцидентов должно быть ноль за некий отчетный период. И хотя это недостижимая цифра, он пытается ее достигнуть. При этом компании ломают, предприятия ломают, утекают данные, и так далее. Почему? Потому что попытка бороться с бесконечным множеством атак, а у нас их число действительно бесконечно, и это математически доказанный факт, бессмысленна.
Если мы попробуем посмотреть с точки зрения директора по корпоративным рискам, а во многих компаниях, как минимум коммерческих, есть такие специалисты, то они смотрят на проблему немного с другой точки зрения. Они начинают составлять большие «простыни» с рисками, так называемые реестры рисков. Они оценивают вероятность реализации негативных событий, оценивают ущерб от них, но… к тому моменту, когда рисковики подходят к финалу этой оценки, у них появляется перечень из нескольких сотен рисков. И надо этот перечень заново пересматривать, потому что технологии поменялись, бизнес-модели поменялись, бизнес-процессы поменялись, внешние условия тоже поменялись. То есть они рисуют абсолютно объективную картину, очень хорошо считаемую, но только никому не нужную. Потому что к тому моменту, когда ее нарисовали, надо все переделывать заново. И это если они реально оценивали ущерб и вероятность, а не использовали «метод светофора», когда оцениваемые параметры разносятся по шкале «красный-желтый-зеленый» или «высокий-средний-низкий».
О чем думает топ-менеджер? Точно не об угрозах или рисках ИБ
А что топ-менеджер думает о кибербезопасности? Он о ней не думает; к сожалению специалистов по ИБ и к счастью руководителя компании. Он смотрит на проблему всего бизнеса, его задача — бизнес приумножать, увеличивая доходы и сокращая расходы, в том числе и снижая потери (у госоргана задачи немного иные - реализовывать госуслуги гражданам, не нарушая при этом установленных показателей качества, например временных, и т. п.). Очень утрированно, но это так. Будет ли он думать о тысячах угроз и сотнях рисков? Нет. В фокусе его внимания будет всего несколько событий, имеющих катастрофические последствия для всей организации. Чтобы не путаться, такие события стали называть недопустимыми, и определяются они именно топ-менеджментом компании. По крайней мере именно такую логику закладывает Минцифры в свои нормативные и методические документы, включая и достаточно свежую методику оперативного рейтинга выполнения показателей эффективности и результативности заместителей высших должностных лиц (руководителей высших органов исполнительной власти) субъектов Российской Федерации, ответственных за цифровую трансформацию, в 2023 году.
Недопустимое событие — событие, делающее невозможным достижение операционных и (или) стратегических целей или приводящее к значительному нарушению основной деятельности организации в результате кибератаки.
Пожар на складе — это недопустимое событие для логистической компании или маркетплейса. Разлив нефтепродукта - это недопустимо для нефтяной компании. Останов конвейера может повлечь за собой катастрофические последствия для автопроизводителя. Приход ”маски-шоу“, отзыв лицензии или остановка бизнеса — это тоже недопустимые события. Часть из этих событий может произойти из-за инцидентов информационной безопасности, но только часть. Именно поэтому список недопустимых событий не может составляться специалистами по ИБ или рисковиками - в этом случае теряется весь смысл, так как они будут опять тянуть одеяло на себя и использовать привычные им концепции и подходы, которые для руководства организации избыточны.
Например, ежедневно регистрируется около 60-70 уязвимостей в программном обеспечении. Всего выявляется их около 200 каждый день, и это не считая так называемых уязвимостей нулевого дня. То есть ежегодно появляется порядка 60 тысяч уязвимостей. Как их устранять, даже если не все из них встречаются в нашей инфраструктуре? Мы не можем это сделать без приоритизации дыр в ПО по уровню критичности. Та же история с угрозами и с инцидентами ИБ. Но кто определяет критичность? Почему эта уязвимость для нас критична, а другая нет? Только потому, что кто-то сказал, что у нее уровень опасности 10 по шкале CVSS или ФСТЭК назвала ее критичной?
Бизнес тоже приоритизирует все события, выделяя те, которые могут привести к катастрофическим последствиям. Но это то же самое, что и делают специалисты по рискам, скажете вы. Отчасти так, но есть разница. По моему опыту, за два часа любой коллектив топ-менеджеров прекрасно справляется с задачей составления перечня недопустимых событий для своего предприятия. Да, это менее объективная история, так как не требует расчета вероятности и ущерба по некой методологии. Но если руководитель не зря есть свой хлеб, то ему несложно выделить то, чего стоит опасаться, а чего нет, безо всяких сложных формул.
Примеры недопустимых событий:
- остановка производства или масштабный брак продукции как результат взлома и внесения изменений в производственный процесс;
- подмена транслируемого контента с целью дестабилизации социально-политической обстановки;
- полная или частичная потеря данных из государственных фондов, реестров и ведомственных баз данных;
- препятствование или блокировка грузовых и пассажирских перевозок;
- неоказание медицинской помощи;
- длительное нарушение порядка работы СМЭВ (более 10 дней);
- отзыв SSL-сертификатов для доменов в зонах .ru/.su/.рф;
- вывод денежных средств со счетов Федерального казначейства.
Преступив порог
Приведенные выше примеры недопустимых событий могут показаться достаточно простыми, однако в реальности ситуация гораздо сложнее. Например, потеря денежных средств. Это может произойти по разным причинам - от штрафов и неэффективных инвестиций до хищений и прямых потерь. Но какой бы ни была причина этих потерь, для разных организаций уровень пороговых значений, переводящих обычное событие в нежелательное, а затем и в недопустимое, будет разный.
Определение таких пороговых значений может осуществляться как на основании экспертной оценки, так и с применением количественных подходов к расчету, например используемых в рамках управления корпоративными рисками. Порог может быть выражен временными параметрами (например, длительность остановки исходя из установленных допустимых показателей простоя системы или сервиса), периодом наступления рассматриваемого события (например, остановка работы клиентских сервисов в рабочее время), финансовыми показателями (например, потеря определенной суммы или доли от оборота), объемом продукции (например, недопустимая доля брака), количеством клиентов (например, отток клиентов или число утекших записей с персональными данными).
Ждать ли гласа свыше?
После получения упомянутой выше методики Минцифры возникла ситуация, которой боялись многие. Во-первых, вопрос определения недопустимых событий “опустился” на уровень специалистов по ИБ на местах. Но почему Минцифры вообще пошло в историю с недопустимыми событиями? Не потому, что это что-то новое и инновационное или чтобы отстроиться от ФСТЭК или ФСБ с их угрозами, инцидентами, компьютерными атаками и так далее. На мой взгляд, причина проста - регулятор понимает, что решать проблемы ИБ, работая на уровень ИБ, невозможно. Надо подняться на уровень выше, а там надо использовать другую терминологию. Потому что, как только вы приходите к руководителю организации и говорите, мне надо бороться с угрозами, он говорит: “иди вот туда, к специалистам по кибербезопасности”.
А во-вторых, представители многих госорганов пошли привычным путем и стали требовать предоставить им список недопустимых событий, из которых они могли бы выбрать для себя актуальные. Но как можно заранее составить то, что каждый бизнес или госорган определяет для себя сам? Да, можно сформировать возможные примеры таких событий, но не более. Например, возьмем одну из популярных угроз последнего времени - шифровальщик. Сама по себе она является чем-то низкоуровневым, недостойным внимания руководства. Ситуация меняется, когда мы начинаем оценивать негативные последствия от нее.
В сентябре 2023 года с этой угрозой столкнулись две сети казино в Лас-Вегасе. Первая, Caesars, выплатила вымогателям 15 миллионов долларов и продолжила функционировать. Вторая, MGM, отказалась платить и на две с лишним недели погрузилась в хаос - сайт не работает и забронировать номер нельзя. Электронные ключи от номеров не работают. Игровые автоматы не работают. Оплата только наличными. По оценкам аналитиков, сеть казино-отелей MGM ежедневно в результате кибератаки теряет от 10 до 20 процентов оборота и cash flow, то есть речь идет о 4,2-8,4 миллиона долларов каждый день. По самым скромным подсчетам, совокупные потери казино от шифровальщика составили от 50 до 100 миллионов долларов, что в разы больше запрошенного изначально выкупа. Схожий инцидент в схожих организациях, но совершенно разные решения топ-менеджмента и разные последствия. В первом случае - это вряд ли можно отнести к недопустимым событиям. Во втором пока сложно сказать, но ущерб достаточно значительный, чтобы предполагать, что такое решение вполне возможно.
А вот явно недопустимой оказалась атака шифровальщика на одну из старейших частных логистических компаний Великобритании - KPN Logistics Group. После июньской атаки она не смогла восстановиться и вынуждена была объявить о том, что прекращает свое существование, а 730 ее сотрудников потеряют работу. Можно ли в таком случае навязывать конкретные недопустимые события, как того просят подопечные Минцифры?
Поэтому, когда мы говорим про недопустимые события, это совсем другая история, отличная от оценки угроз по ФСТЭК, оценки рисков по ЦБ, или моделирования нарушителя по ФСБ. Концепция недопустимых событий понятна бизнесу и понятна руководителям организаций, которые зафиксировали на стратсессии три-пять недопустимых событий, а затем спустили их уже сверху вниз, ко всем подразделениям, включая ИБ и ИТ, которые будут “приземлять” их на существующую инфраструктуру и пытаться управлять ими, беря системы на мониторинг или усиливая их защиту. Ну а дальше каждый выбирает для себя. Кто-то будет продолжать жить по методике ФСТЭК, а кто-то попробует подняться выше и сфокусироваться на самом главном, на том, что и нужно защищать в первую очередь. Давайте сделаем недопустимое невозможным.
Опубликовано 05.10.2023