Позиции по отношению к информационной безопасности у генеральных директоров (CEO) и корпоративных ИБ-руководителей (CISO) компаний чаще расходятся, чем совпадают. Проведенное в апреле этого года компанией Core Security исследование, в котором приняли участие 100 CEO и 100 CISO из США, демонстрирует, насколько глубоко это расхождение. Ситуация усугубляется еще и тем, что самих CEO далеко на всегда определяют как важную категорию специфических угроз корпоративной ИБ. В то же время в компаниях уже стало хорошей практикой выстраивать ИБ-политики так, чтобы при работе с чувствительной информацией специалисты по ИБ и ИТ взаимно контролировали друг друга.
Согласно полученным в ходе исследования данным, только 15% опрошенных CEO заявили о своей серьезной озабоченности атаками на корпоративную телекоммуникационную сеть, тогда как среди CISO таких оказалось 60%. Зато 20% CEO сообщили, что совершенно не волнуются по этому поводу. Среди CISO столь же уверенных в защищенности своих сетей оказалось только 4%.
Если с возможностью не выявляемой в течение длительного времени (недель и даже месяцев) компрометации корпоративных ИТ-систем согласны 58% CISO, то из опрошенных CEO эту ситуацию рассматривают как возможную только 26%. Около 40% CEO склонны считать главной опасностью для своих данных внешние атаки, прежде всего использующие методы социальной инженерии. Эту точку зрения разделяет не более 23% CISO — в основном же они склонны считать, что гораздо большую опасность для корпоративной ИБ представляет сотрудники компании, во многом из-за слабой защищенности используемых ими мобильных носителей информации, а также из-за элементарных потерь этих устройств.
Половина опрошенных CISO относят к высоким ИБ-рискам недостаточную информированность сотрудников в области ИБ и невнимательность во время работы, из-за чего, собственно, они и становятся жертвами преступников, использующих приемы социальной инженерии. При этом примерно одинаковое число руководителей как той, так и другой области деятельности (61% CEO и 54% CISO) считают, что их компании располагают достаточными материальными и временными ресурсами для того чтобы поддерживать ИБ-подготовленность персонала на должном уровне.
Только 22% CEO (против 66% CISO) полагают, что могут потерять работу, если ИКТ-ресурсы их компании будут взломаны злонамеренными хакерами. В то же время около 65% опрошенных CEO сообщили, что не располагают достаточной информацией, необходимой им для проецирования ИБ-рисков на бизнес-риски.
Как выявило исследование, позиции CEO и CISO заметно совпадают по вопросу, является ли обеспечение корпоративной ИБ только их зоной ответственности. 77% CEO и 85% CISO полагают, что обеспечить ИБ в компании можно лишь только совместными усилиями, подключив к этому все корпоративные подразделения и все бизнес-процессы. CEO и CISO США практически единодушны также в оценке того, кто сегодня побеждает в борьбе за ИБ — атакующие или защищающиеся: 61% CEO и 58% CISO считают, что пока верх одерживают “плохие парни”.
В 95% случаев при проведении тестов на проникновение удается обойти средства защиты и взломать внешний периметр защиты.
Редакция PC Week/RE обратилась к ряду российских ИТ- и ИБ-экспертов с просьбой прокомментировать результаты исследований компании Core Security и сопоставить их с российской действительностью.
ИТ-директор компании “ИНФРА Инжиниринг” Алексей Петров считает, что для начала обсуждения обозначенной темы в отношении России следует оценить состояние самого института CISO в нашей стране. Ведь далеко не в каждой российской компании в настоящее время есть позиция CISO и не всегда, если она есть, ее статус позволяет занимающему ее специалисту напрямую общаться с CEO и владельцами бизнеса. Зачастую функции CISO поделены между руководителями ИТ-службы и службы безопасности, что приводит к тому, что ни та, ни другая не считают себя полностью ответственными за риски ИБ.
Отметив несомненный интерес полученных компанией Core Security данных, председатель правления компании “Андэк” Владимир Гайкович предположил, что обязательным условием сравнения позиций CEO и CISO должна быть принадлежность опрашиваемых пар к одной и той же компании. В этом случае, по его мнению, расхождения CEO и CISO в оценках воздействия ИТ-рисков на риски бизнеса становятся более очевидными.
В целом, наши эксперты наблюдают и в России ситуацию, сходную с ситуацией в США. Ссылаясь на накопленный его компанией за пять лет опыт работы в качестве ИБ-интегратора, а также на свой личный опыт руководителя, генеральный директор компании “ДиалогНаука” Виктор Сердюк заключает, что в большинстве случаев генеральные директора российских предприятий действительно в меньшей степени озабочены проблемами обеспечения ИБ, и, как следствие, внимание вопросам защиты информации в отечественных компаниях и организациях уделяется по остаточному принципу.
Частично сложившуюся ситуацию, по мнению г-на Сердюка, изменил закон “О персональных данных”, благодаря которому российские CEO впервые осознали необходимость реализации мероприятий по защите информации. Что же касается руководителей подразделений ИБ российских предприятий, то по его оценкам, они, как правило, в полном объеме понимают важность задач по защите информации и стараются предпринимать максимум усилий по минимизации ИБ-рисков.
Оценка влияния законодательного регулирования сферы ИБ (включая упомянутый закон) заместителем начальника экономической безопасности КБ “Экспресс-Тула” Михаилом Симаковым заметно пессимистичней: “Было бы совсем неплохо, если бы переменчивые ветра законов не мешали бизнесу развиваться, а наоборот помогали ориентироваться, правильно оценивать ситуацию и выстраивать стратегию ИБ-обороны”.
Г-н Гайкович объясняет наблюдаемые расхождения в позиция CEO и CISO разной оценкой степени влияния проблем ИБ на текущее и перспективное состояние бизнеса компаний. “CEO может недооценивать их последствия, а CISO может придумывать лишнего. И то и другое вполне реально. Кто из них прав, а кто неправ, из этого исследования не понять, так как отраслевая принадлежность опрошенных компаний не приведена, а структура рисков для бизнеса сильно зависит от отрасли и от типов активов, которыми владеет компания”, — полагает он.
Согласно данным компании “ДиалогНаука”, в 95% случаев ее специалистам удается при проведении тестов на проникновение обойти существующие средства защиты, взломать внешний периметр безопасности и получить доступ к внутренним информационным активам организации. Из этого г-н Сердюк заключает, что большая часть российских компаний потенциально уязвима к взломам извне,, и при этом может не догадываться о том, что успешно атакована злоумышленниками. Однако, подчеркивает он, большинство руководителей российских компаний, так же как и начальники подразделений по ИБ, осознают возможность такого взлома систем безопасности как высоковероятную.
Напрасно самих CEO редко определяют как важную категорию специфических угроз корпоративной ИБ.
По мнению г-на Петрова, риск взлома ИТ-систем для российских компаний чаще всего сводится к денежным потерям (взлом клиент-банковских систем) и нарушениям закона “О персональных данных” (взлом кадровых, биллинговых, СRМ-систем и т. п.). По его оценкам, в большинстве случаев взломы могут оставаться не обнаруженными до 10—15 дней, а их последствия оцениваются российскими СЕО чаще всего, как незначительные. Поэтому и сами ИБ-риски оцениваются ими, как невысокие. Российские CISO, даже если они считают иначе, вынуждены действовать в условиях именно такого отношения со стороны CEO к вопросам ИБ.
Генеральный директор компании Group-IB Илья Сачков оценивает вероятность пребывания ИТ-систем своей компании в состоянии взлома как низкую. При этом до обнаружения взлома ИТ-систем Group-IB, по его оценкам, может пройти не более 2 ч.
Ссылаясь на практику своего банка, г-н Симаков, заявил, что бесследный взлом ИТ-систем КБ “Экспресс-Тула” маловероятен. “Взломщик обязательно будет обнаружен. Я думаю, что с момента взлома периметра сети (подчеркиваю — периметра) до обнаружения атаки может пройти от десятков минут до нескольких часов, что зависит от того, в рабочее или нерабочее время была проведена атака. Если же хакер не проявляет активности и не влияет на работу сети и программ, то возможно, что проникновение будет обнаружено на следующий рабочий день”, — сообщил он. Наиболее опасными сегодня, по его мнению, стали внутренние угрозы — если с внешними угрозами ИБ-специалисты научились бороться, то опасности инсайдерские пока остаются трудно выявляемыми.
В оценке опасности внешних (фишинг, социальная инженерия) и внутренних (инсайд) угроз, по мнению г-на Сердюка, мнения CEO и CISO российских компаний не должны сильно отличаться друг от друга. В целом же степень опасности тех или иных угроз для компании, по его мнению, зависит от большого количества факторов. Так, для небольших и средних компаний наиболее актуальны внешние угрозы — ввиду небольшой численности персонала. В то же время, чем крупнее компания, тем большую опасность представляют угрозы инсайда.
Прямая связь опасности внутренних ИБ-угроз с численностью персонала, считает г-н Сердюк, является следствием низкого уровня осведомленности персонала в вопросах защиты информации, что, в свою очередь, является следствием практически полного отсутствия ИБ-обучения сотрудников и контроля ИБ-дисциплины внутри компаний. К тому же, как подчеркивает г-н Петров, очень мало российских компаний включают в трудовые договоры пункты, регламентирующие доступ к информации и ответственность за их нарушение. Он считает, что если в компании нет регламентов ИБ и не контролируется ИБ-дисциплина, то, скорее всего, технические средства защиты окажутся бессильны.
Наши эксперты полагают, что большинство генеральных директоров и руководителей подразделений ИБ согласятся с тем, что ИБ-обучению в российских компаниях уделяется очень мало внимания, несмотря на преобладающее мнение российских CEO и CISO, что ресурсы для этого есть и что лучше бы разделять ответственность за ИБ между всеми сотрудниками компании.
О реальной практике корпоративного ИБ-обучения в его банке г-н Симаков говорит так: “Персонал очень загружен прямыми обязанностями, а ИБ практически всегда стесняет работу сотрудников различными ограничениями. Важность повышения информированности сотрудников в вопросах ИБ приходится доказывать “с пеной у рта”. Обучение, к сожалению, не имеет планового характера. В основном это инструктаж при приеме на работу и на местах, когда проводятся какие-либо работы. Распространение различных инструкций и памяток (даже под роспись), к сожалению, мало эффективно. Зачастую сотрудник, который только что под роспись ознакомился с инструкцией, все делает совершенно наоборот.”
Торжеством ИБ сегодняшнее положение дел в этой области назвать нельзя, хотя и победой кибер-преступников признать его было бы очень мрачно.
Что касается мобильных устройств как фактора ИБ-рисков, то, по наблюдениям г-на Сердюка, российские CEO не осознают угроз, которые возникают при их неконтролируемом использовании, так как считают их прежде всего удобным средством для удаленной работы. В то же самое время CISO в России наоборот стараются либо максимально ограничить использование таких устройств, либо внедрить дополнительные средства защиты, которые позволяют сделать их использование более безопасным.
В КБ “Экспресс-Тула” проблемы ИБ мобильного доступа, сообщил г-н Симаков, решили так: “Ввиду специфики бизнеса банк ориентирован на работу со стационарными рабочими станциями. Только единицы сотрудников имеют возможность работать с внутренними ИТ-ресурсами банка с использованием мобильных устройств, причем мобильный доступ ограничен самым минимумом. Подключение же личных гаджетов к корпоративной компьютерной сети запрещено административно и максимально затруднено”.
По мнению г-на Петрова мобильные устройства в России на данный момент больше используются для просмотра информации (почты, отчетов), чем для поддержки принятия решений. Поэтому уязвимость этих устройств в большей мере содержит риски, связанные с утратой некритичной информации, чем с утратой финансов и бизнеса, а потому риски эти невысоки.
Как отметил г-н Симаков, проблемы защиты информации для административного руководства компаний далеко не основные и к тому же очень затратны, а многие аспекты ИБ для первых лиц просто непонятны. До тех пор, пока нет проблем со стороны ИБ (потери данных, остановки бизнес-процессов, проверок регуляторов и т. д.), считается, что все затраты на ИБ уходят в никуда. Он отмечает, что пока в компаниях не появится понятная бизнесу модель ИБ-рисков с интуитивно понятными для высшего руководства критериями оценки рисков и средств их минимизации, не будет полного понимания между CEO и CISO.
Существующий уровень зрелости бизнес-процессов российских компаний не позволяет интегрировать в них задачи, связанные с защитой информации. Про встроенность ИБ в бизнес-процессы больше говорят, чем делают. Привлекать к решениям задач ИБ сотрудников, не относящихся к ИБ-службам, крайне тяжело. В подавляющем большинстве случаев за ИБ формально отвечает специализированное подразделение, а не бизнес в целом. Нередко на плечи ИБ-руководителя возлагаются обязанности по физической безопасности объектов и юридические аспекты выполнения регулятивных требований. В большинстве российских компаний, по наблюдениям наших экспертов, отсутствуют какие-либо средства трансформации ИБ-рисков в бизнес-риски, эффективная практика управления рисками.
Опыт показывает, что успешная атака злоумышленников, причинившая ущерб компании, может привести к увольнению руководителя ИБ-службы. В то же время ИБ-инциденты, как правило, не оказывают какого-либо влияния на работу генерального директора компании. Вместе с тем, как подчеркнул г-н Сачков, который является не только CEO, но и владельцем компании, при взломе он может потерять не только должность, но и бизнес.
По мнению г-на Гайковича, при наблюдаемых различиях между взглядами на ИБ у CEO и CISO конструктивной совместной работы на благо компании от них ожидать не приходится. Единственным условием решения проблемы, как он считает, может быть сближение их позиций, что сложно, потому что упирается в статусные и профессиональные ограничения этих должностных лиц. Поэтому, заключает он, в ближайшей перспективе здесь мало что изменится.
Оценивая сегодня результат противостояния кибер-преступности и специалистов по ИБ, наши эксперты признают, что торжеством ИБ сегодняшнее положение дел назвать нельзя, хотя и победой кибер-преступников признать его было бы очень мрачно. <