В условиях ежегодного роста киберпреступности, когда посягательств на деньги, информацию и репутацию компаний становится все больше а методы злоумышленников все изощреннее, вопросы информационной безопасности обретают особую актуальность и остроту. При этом не уровень технических средств защиты, а именно человеческий фактор оказывается главной причиной успеха кибератак на информационные активы бизнеса.

8 февраля в рамках проведенной РАНХиГС конференции состоялась панельная дискуссия «Формула успеха ИБ в современном бизнесе». Опытом делились представители компаний, в которых проблемы информационной безопасности решаются наиболее успешноtal

Служба ИБ среди своих

Начав дискуссию, Евгений Акимов (Концерн «Калашников») сразу нащупал тему, ставшую одной из основных линий дальнейшего обсуждения. Речь пошла о так называемых «белых пятнах» в распределении корпоративной ответственности за информационную безопасность. Все собравшиеся эксперты сошлись на том, что обеспечение информационной безопасности — это сквозная функция, которую бессмысленно разбивать на кусочки и делить между ИБ и еще двумя-тремя подразделениями.

Мария Воронова (InfoWatch) поделилась информацией, что во многих глобальных корпорациях упраздняются специальные подразделения и службы ИБ, а функция информационной защиты начинает реализовываться в сквозных процедурах и процессах, охватывающих все подразделения и филиалы.

Евгений Акимов обратил внимание, что еще с конца 90-х в ИБ-сообществе хорошо известно ключевое положение Британского стандарта: ответственность за обеспечение информационной безопасности организации несет каждый ее сотрудник. За прошедшие 20 лет актуальность этого принципа только выросла. Почему?

Наиболее убедительный ответ дала Юлия Косова («Ростелеком-Solar») — ее компания собрала обширную статистику последнего года по стране. Сегодня более 70% сложных атак начинаются с фишингового письма, получив которое сотрудник делает неосторожный переход по сомнительной ссылке. Оказывается, доля сотрудников в организациях, совершающих такие неосмотрительные переходы, составляет 30%. Среднее время от начала атаки до взлома первого компьютера составляет 28 секунд, а получив контроль над одним компьютером, злоумышленники легко делают его точкой доступа как к администрированию информационной системы, так и к конфиденциальным данным. 49% вредоносного ПО устанавливаются через электронную почту. Подбор ключей доступа облегчает хакерам и то обстоятельство, что большинство сотрудников используют короткие и повторяющиеся в разных аккаунтах пароли. Исследование показало: каждый седьмой из сотрудников, не прошедших специальные учебные курсы, поддается на уловки социальной инженерии. При этом наиболее уязвимыми подразделениями оказались... юридические службы (каждый четвертый сотрудник). За ними следуют сотрудники бухгалтерии (каждый пятый) и, наконец, секретариат (каждый шестой).

В современных условиях перестают работать традиционные формы и способы работы служб ИБ, которых все еще придерживаются по инерции многие компании. И чем дальше — тем больше неэффективная организация ИБ будет ставить под вопрос само существование бизнеса. Участники обсуждения подробно раскрыли особенности организации информационной защиты в их компаниях. Приведем некоторые принципы эффективной работы службы ИБ в виде сравнительной таблицы.


Организация ИБ вчера

Организация ИБ сегодня

Ресурсы бизнеса, вовлеченные в обеспечение ИБ

Служба ИБ. В меньшей степени — ИТ-подразделения и HR-подразделения

Все подразделения и сотрудники компании. Служба ИБ выступает как инициатор и неформальный лидер работы с персоналом с целью обеспечения ИБ в компании

Ответственность службы ИБ

За состояние систем информационной безопасности

За информационную гигиену сотрудников, сквозные процессы обеспечения ИБ, за результаты и последствия в сфере ИБ

Содержание мер информационной защиты

Разовая установка технических средств защиты. Разовый инструктаж сотрудников при приеме на работу.

Непрерывный процесс на основе мониторинга новых видов угроз. Анализ новых инцидентов. Постоянное обновление способов защиты и содержания обучения сотрудников.

Способы вменения сотрудникам ответственности за соблюдение правил ИБ

Подписание при приеме на работу документов неясными терминами и громоздкими описаниями. Выпуск высшим руководством организационно-распорядительных документов

Полноценное периодическое обучение людей на подходящем для компании материале, в формате практикумов и с тестированием навыков на выходе

Секреты ИБ-педагогики

Первый принцип успешной постановки ИБ: службы ИБ должны научиться говорить с сотрудниками на понятном для них языке. Терминология, которая доминирует в вузовских программах подготовки безопасников и переносится затем в кипы инструкций и регламентов для персонала не только малопонятна, но и отражает устаревшие, не отвечающие сегодняшнему дню принципы. Сегодня сотрудники, а уж тем более люди поколения Z, не будут выполнять правила, смысл которых им неясен. Необходимо разъяснять людям, каким конкретно видам характерных угроз и потерь подвергается бизнес, в котором они работают. Для банковской сферы первая мишень преступников — деньги клиентов, для высокотехнологичных производств — составляющие коммерческую тайну ноу-хау, для крупных B2C-компаний — базы персональных данных (с целью переманивания клиентов) и т. д. На конкретных примерах отрасли следует доносить смысл правил — «не открывать ссылки в письмах от неизвестных адресатов», «регулярно менять пароль доступа на рабочем месте», «распознавать подозрительные сайты», «защищать данные на персональных мобильных устройствах». В ходе обучения и инструктажа следует опираться на близкую людям конкретику: к каким последствиям приводили нарушения правил ИБ в случае кибератак, каков был размер ущерба и какую ответственность понесли нарушители.

Второй принцип — практический характер обучения. Для обретения прочных навыков информационной гигиены людям недостаточно ни лекционных курсов, ни убедительных примеров: необходимы регулярные тренинги, в результате которых правила безопасности на рабочем месте превращаются в доведенную до автоматизма привычку.

Третье, чем нужно заниматься постоянно — поддержание высокой мотивации людей. Ведущий дискуссию Олег Седов («Ростелеком-Solar») рассказал о случае, когда в одной из компаний все 30 сотрудников бухгалтерии прошли обучение по ИБ и успешно выдержали практические тесты. После этого в порядке «военной игры» была инсценирована фишинговая рассылка. Результат оказался шокирующим: с разосланных писем было совершено даже не 30 попыток перехода по ссылке, а... 500! Что произошло? Сотрудницы бухгалтерии, желая получить обещанную в письме праздничную скидку, пытались перейти по ссылке. Перейти не удавалось — и тогда они пересылали письмо подругам в надежде, что получится хотя бы у них. Стоит ли говорить о том, как изменилось отношение к правилам ИБ после разбора результатов этой игры?

Четвертое — постоянное обновление и обогащение учебных программ на основе вновь выявляемых видов атак. По данным центра мониторинга Solar JSOC, каждую неделю появляется 5-6 типов новых атак. Только служба ИБ, которая активно «варится» в профессиональном ИБ-сообществе, может оперативно отслеживать новые угрозы и тренды, может предлагать действительно актуальный материал для обучения. С этой точки зрения все меньше отвечает требованиям времени практика, когда поручения по ИБ-обучению спускаются руководителям подразделений или HR-службам, и те своими силами пытаются выполнить их. Линейные руководители, сотрудники HR-служб и тренинговых центров часто не понимают ни масштаба проблем ИБ, ни характерных для данной компании деталей и нюансов. Как правило, они и сами не мотивированы на повышение уровня ИБ просто в силу слабого знакомства с проблемой. Поэтому специалистов из служб ИБ необходимо привлекать на всех этапах обучения персонала, начиная с мотивирования на обучение — и заканчивая тестовыми проверками реагирования на фишинговые атаки.

Далеко не всегда у служб ИБ хватает ресурсов, чтобы самим возглавлять и реализовывать необходимые мероприятия с персоналом. Вместе с тем, специалисты по ИБ являются основным, а часто единственным источником знаний, за счет которых можно мотивировать и вовлекать в работу по ИБ руководство и персонал других подразделений. Поэтому инициатива со стороны ИБ-служб, неформальное общение по горизонтали, встречи, просвещение и вовлечение — единственный способ начать делать корпоративную ИБ-систему действительно современной и эффективной. Как сформулировал Евгений Акимов, сотрудники ИБ-служб должны научиться «ходить в народ». Если вы сами позитивно настроены и искренне заинтересованы в повышении ИБ компании — другие сотрудники обязательно вам поверят и вас поддержат.

ИБ и облачные сервисы

Иван Дмитриев (ИТ-холдинг TalentTech) поделился ценным опытом решения проблем ИБ при переходе компаний на облачные сервисы. При подключении к облакам корпоративная информация начинает путешествовать неисповедимыми путями, периметр защиты компании размывается. По его мнению, специалистам по ИБ следует с особым вниманием отнестись к точкам «стыковки» корпоративной информационной системы и облачного сервиса, где и возникает больше всего уязвимых звеньев. Многие проблемы безопасности становятся решаемыми, если с самого начала закладывать ИБ-требования в договор с провайдером облачных услуг. По опыту TalentTech, большинство провайдеров охотно идут на диалог с ИБ-службами заказчика и готовы брать на себя разумные обязательства. В части сроков уведомления о случившихся инцидентах и принятых мерах. В части предоставления отчетности о действиях сотрудников в информационной системе. И так далее, вплоть до обязательств по выявлению подозрительных аномалий в поведении информационных систем. Продолжая разговор об облаках, Михаил Козлов (независимый консультант) обратил внимание на опасности, которые могу возникать если компании, пользуясь хорошо защищенными платформами (Amazon, Microsoft, IBM и др.) вносят в облачные сервисы свои собственные доработки, не сопровождая их достаточно глубоким ИБ-анализом.

Служба ИБ перед лицом начальства

Мария Воронова заострила свое выступление на еще одной проблеме: как убедить бизнес вкладывать средства в ИБ? Все-таки многие бизнесмены и топ-менеджеры привычно ставят во главу угла прибыль и относятся к вложениям в ИБ с известной долей скепсиса. Пока инцидент не случился, вложения в ИБ вроде бы и не оправданы, а когда случился — меры ИБ не очень-то и пригодились.

Она поделилась развернутой методикой: как переводить задачи и потребности служб ИБ на язык предотвращения финансовых потерь. Как показать, какие деньги будет терять бизнес, как вследствие преступных посягательств, так и в результате взыскиваемых регулятором штрафов.

Вот некоторые метрики состояния ИБ, часть из которых можно переводить в суммы ущерба и планировать сокращение этих сумм на будущий период.

Характеристика состояния ИБ

Метрика и ее плановое улучшение

Перевод на язык сокращения финансовых потерь

Проведение расследований инцидентов

Снижение доли расследований, не доведенных до принятия управленческого решения

Сокращение времени проведения расследований


Предотвращенные попытки хищения денежных средств

Повышение доли предотвращенных попыток

Денежный эквивалент уменьшения размера финансовых потерь

Доля ложных срабатываний системы ИБ

Снижение доли ложных срабатываний

Денежный эквивалент количества «сэкономлен— ных трудозатрат»

Прямые финансовые потери от инцидентов

Снижение потерь от инцидентов по сравнению с прошлым периодом

Отток клиентов в результате просачивания в СМИ информации о прецедентах

Снижение количества публикаций об инцидентах в СМИ

Перевод в сокращение потерь от недополученной выручки в результате клиентского оттока

При составлении такого рода метрик и основанных на них планах компания может использовать собственную статистику инцидентов, финансовых потерь и упущенных выгод прежних отчетных периодов. А при отсутствии такой информации — использовать отраслевую статистику либо статистику близкой по профилю компании.

ИБ-лайфхаки

Иван Дмитриев поделился опытом проведения хакатона среди разработчиков компании. Специалисты по ИБ вмонтировали в продукт коллег всевозможные уязвимости и объяснили им, какие бывают виды атак. После этого в течение трех часов разработчики боролись за денежный приз, пытаясь найти все заложенные безопасниками «мины». В результате — не только нашли их, но и обнаружили немало ИБ-пробелов в своей собственной исходной разработке. Иван заметил также, людей хорошо мотивирует возможность переносить знания и полезные навыки информационной гигиены с рабочего места в повседневную жизнь. Как пример — осмысленное использование двухфакторной аутентификации в сервисах, так или иначе связанных с личными финансами.

Михаил Козлов подчеркнул, что устранение проблем ИБ после выхода продукта на рынок обходится на порядки дороже, чем прогнозирование и профилактика таких проблем на всем жизненном цикле разработки, от идеи продукта и до его финального тестирования. Продукт должен анализироваться на предмет возможных атак и с точки зрения различных ролей и моделей пользователя, и с точки зрения различных ролей злоумышленника. На практике при тестировании новых продуктов хорошо зарекомендовали себя системы поиска уязвимостей, разработанные Microsoft и Netflix и доступные на их облачных сервисах.

По мнению Евгения Акимова, PR-службы не всегда правильно и грамотно реагируют на публикуемые в СМИ факты инцидентов и утечек. Гораздо разумнее такая постановка дел, когда ИБ-специалисты совместно с PR-службой заранее заготавливают пресс-релизы и оговаривают порядок действий при наступлении наиболее распространенных инцидентов. Как правило, вбросы в СМИ и СММ делаются в пятницу вечером, когда все ушли домой. За выходные черный пиар разлетается по интернету, и к понедельнику дело уже сделано и реагировать поздно. Соответственно, в целях мониторинга инфополя и защиты репутации целесообразно организовывать дежурство в пятницу вечером.

Мария Воронова рассказала о том, на какие аргументы может опереться ИБ-руководитель, обращаясь к бизнесу за текущим финансированием. Это может выглядеть примерно так: «Есть похожая на нас компания Х, с похожими системами и сервисами — и на нее была серия атак. Ожидаем, что в ближайшие дни пойдут атаки и на нас. Давайте, не дожидаясь, примем такие-то меры, для которых потребуется такой-то бюджет».