Протоколы кибербезопасности прошли долгий путь. Однако есть еще много возможностей для совершенствования. Опрошенные порталом InformationWeek эксперты обсуждают некоторые недостаточно изученные аспекты.
Согласно отчету IBM «Cost of a Data Breach», средняя стоимость ущерба от взлома в мире в 2023 г. составляет 4,45 млн. долл. А по данным исследования Cybersecurity Ventures «2022 Official Cybercrime Repor», общие глобальные убытки от кибератак в этом году могут достичь 8 трлн. долл.
С кибербезопасностью явно что-то не так.
Конечно, киберпреступники постоянно адаптируются к новым условиям, поэтому мы не можем возлагать всю вину на отрасль, которая призвана защищать нас от них. В то же время многие организации отстают от злоумышленников — барахтаются в попытках противостоять новейшим угрозам или просто игнорируют их, надеясь на лучшее.
Даже инициативные CISO ограничены бюджетными рамками и операционной неэффективностью. Огромные арсеналы решений по обеспечению безопасности развернуты по периметру бессистемно, оставляя множество брешей, которыми могут воспользоваться мотивированные хакеры. Мешает и кадровый голод. Согласно исследованию ISC2 «2022 Cybersecurity Workforce Study», в мире требуется еще 3,4 млн. специалистов по кибербезопасности.
Дефицит квалифицированных кадров и проблемы с наймом
В отчете за 2021 г., подготовленном Ассоциацией безопасности информационных систем (ISSA) и отраслевой аналитической компанией Enterprise Strategy Group (ESG), отмечается, что 57% из 500 опрошенных специалистов считают, что нехватка профессиональных навыков негативно сказывается на их организации. Таким образом, не только не хватает работников для решения необходимых задач, но и те, кто есть, не обладают всем спектром необходимых навыков.
«В сфере кибербезопасности наблюдается большая текучесть кадров. Цеховая экспертиза, институциональные знания — все это очень изменчиво. Если у вас уходят три лучших специалиста по тестированию на проникновение, то восстановление этих знаний — дело нетривиальное», — отмечает Джозеф Уильямс, глобальный партнер Infosys Consulting.
Поиск замены и расширение штата сами по себе сопряжены с рядом трудностей: участники опроса ISSA/ESG были обеспокоены отсутствием конкурентоспособной компенсации и некомпетентностью отделов кадров, не способных найти подходящих кандидатов.
Кроме того, отмечает Уильямс, интеграция набора различным навыков сотрудников служб кибербезопасности может быть довольно сложной задачей. «У меня есть разноплановые специалисты, — говорит он. — Но у меня не так много людей, способных объединить разные компетенции в единое целое. Я вижу очень мало командующих флотами, людей, которые действительно могут управлять не только кораблем, но и оперативной группой. Если вы найдете такого человека, то, по правде говоря, он вскоре уйдет в стартапы, чтобы добиться бóльших успехов, а не останется в корпорации».
Отсутствие коммуникации между командами руководителей
Как отмечают авторы недавней статьи в Harvard Business Review, существует еще одно рассогласование — между CISO и советом директоров. По данным опроса членов советов директоров, только 69% из них считают, что они находятся на одной волне со своими CISO. При этом лишь менее половины взаимодействуют с ними на регулярной основе. По словам Нила Джонса, директора по кибербезопасности компании Egnyte, это часто является результатом «несерьезного отношения руководства к кибербезопасности, которое рассматривает расходы на ИТ-безопасность как затраты на проект, а не как инвестиции в защиту бренда».
«Кибербезопасность никогда не получает тех инвестиций, которых она заслуживает, потому что она не приносит дохода, — добавляет Уильямс. — Она не создает стоимость. Она защищает стоимость. Поэтому одна из проблем заключается в недостаточном инвестировании. Трудно сформировать кадровый ресурс, который вам действительно нужен».
Помочь устранить этот коммуникационный пробел может регулярное обучение руководителей. Кроме того, привлечение к работе руководителей, лучше знакомых с текущей ситуацией, может помочь укрепить мнение о важности кибербезопасности у высшего руководства, даже если CISO в него не входит.
И обратно, CISO необходимо развивать коммуникативные навыки, которые позволят им подчеркивать эту важность в понятных терминах. Люди отключаются, когда не понимают того, что им говорят. А руководители могут быть особенно невосприимчивы. По данным одного из исследований, почти 30% руководителей компаний обладают сильными нарциссическими чертами личности, что говорит о том, что многие из них могут быть не готовы признать собственное невежество и попросить предоставить более подробную информацию.
Это немаловажно, если учесть, что сами эти руководители могут представлять собой уязвимые места в организации. «Мы видели, как руководители или члены советов директоров крупных компаний, входящих в список Fortune 500, практикуют очень плохую кибергигиену», — признается Уильямс.
Самоуверенность и халатность
Самонадеянность не раз становилась причиной кибернарушений. Организации вкладывают средства в дорогостоящие комплексы инструментов, которые обещают обеспечить защиту данных, и полагают, что именно так и будет. А вот правильные ли это инструменты, правильно ли они расставлены — это уже другой вопрос.
Организациям следует избегать «опоры на разрозненные, собранные из кусочков решения по кибербезопасности, которые не обеспечивают комплексной защиты от кибератак и злонамеренных инсайдеров», — советует Джонс.
Уильямс использует метафору «линии Мажино» — укрепления, возведенного Францией вдоль своей восточной границы в
«Недостатки заключаются в управлении. Могу ли я найти человека, который сможет взглянуть на весь наш ландшафт уязвимостей, где у меня есть 11 инструментов, и определить, где есть пробелы? В итоге мы имеем среду, в которой фактически не знаем, что происходит, — говорит он. — Вы не можете быть уверены в том, что все предусмотрели. Конечно, вы делаете все, что можете. Но как бы хорошо вы себя ни чувствовали сегодня, завтра все может быть иначе».
Агентство по кибербезопасности и инфраструктурной безопасности (CISA) начало составлять каталог особо опасных практик, которых следует избегать, включая использование отслужившего свой срок ПО, паролей по умолчанию и однофакторной аутентификации.
Джонс особо отмечает использование устаревшего ПО. «Все развернутые в настоящее время решения в области ИТ-безопасности должны быть оценены и распределены по категориям: оставить, обновить или вывести из эксплуатации», — советует он.
Отсутствие проактивных мер
Кроме того, необходимо регулярно проводить поиск угроз, тестирование на проникновение и установку патчей. Некоторые уязвимости, известные как уязвимости «нулевого дня», могут быть еще не выявлены и не устранены поставщиком ПО. А вот уязвимости «N-day» уже выявлены, и их легко устранить с помощью регулярного патча. Однако, как известно, компании, пострадавшие от атаки WannaCry, не исправили уязвимость «N-day» в одном из продуктов Microsoft.
«Я всегда рекомендую организациям в первую очередь сосредоточиться на наиболее значимых уязвимостях, которые могут повлиять на их инфраструктуру, с целью как можно скорее протестировать и развернуть исправления для этих уязвимостей, — говорит Джонс. — Уязвимости с высоким уровнем последствий с наибольшей вероятностью будут использованы в кибератаках, и в случае успешной атаки это может оказать пагубное воздействие на производительность компании и репутацию бренда».
Хотя поиск угроз, тестирование на проникновение и установка исправлений являются важнейшими задачами кибергигиены, их не следует считать достаточными сами по себе. После их выполнения необходимо еще раз проверить систему на наличие уязвимостей, открывшихся в процессе этой работы.
Сотрудники с правами администратора часто отключают различные средства защиты, поскольку считают их неудобством, препятствием для выполнения работы или в рамках учений по безопасности, после чего их работоспособность может быть не восстановлена.
Необходимо установить регулярный график резервного копирования, особенно для особо важных массивов данных. Тогда в случае разрушительной атаки данные могут быть восстановлены в кратчайшие сроки. Если же резервная копия не создана, то данные пропадут навсегда. Важно также провести инвентаризацию всего оборудования. Очень часто организации не знают, где находится каждый элемент оборудования в их организации и кто его использует, что делает невозможным составление карты всех поверхностей атаки.
Еще одной ошибкой является отождествление соответствия нормативным требованиям и безопасности. Хотя такие нормативные акты, как GDPR, и руководства, подобные NIST Cybersecurity Framework, предлагают полезные параметры, они не дают практически никакой конкретики, необходимой для каждой отрасли и даже для каждого отдельного предприятия.
Эти предупреждения в равной степени относятся и к малому и среднему бизнесу: хотя кибератаки на крупные корпорации попадают в заголовки газет, стоит отметить, что, согласно Verizon «2023 Data Breach Investigations Report», 43% из них направлены на малые предприятия.
Отсутствие установленного плана восстановления
К сожалению, хакеры обходят стороной самые скрупулезные методы кибергигиены. Организациям необходимо подготовиться к такому развитию событий, имея надежный план восстановления. Согласно исследованию Ontrack, почти 40% не имеют такого плана.
«Я найму [внешнего провайдера], когда возникнет проблема. И я заплачу большую сумму за восстановление», — описывает типичный менталитет Уильямс. По его словам, такая модель не является устойчивой: «Необходимо переходить от простого предотвращения к обеспечению полной непрерывности бизнеса. Но как мы будем поддерживать бизнес, находясь под ударом?».
Как известно, щепотка «до» стоит пуда «после». Но на случай катастрофы необходимо иметь в запасе и последний вариант. А создание устойчивой организации практически невозможно, если слишком самоуверенные руководители считают, что они изначально застрахованы от всего.
Человеческий фактор
По данным Всемирного экономического форума, на человеческий фактор приходится до 95% инцидентов, связанных с кибербезопасностью. В отчете Verizon об утечке данных эта цифра составляет 85%. Однако только 67% членов советов директоров, опрошенных Harvard Business Review, считают, что человеческий фактор является основной причиной утечек.
Эти ошибки принимают различные формы: от попадания в фишинговые аферы, использования очевидных паролей и однофакторной аутентификации до оставления открытых бэкдоров при кодировании. Усталость от оповещений может привести к тому, что аналитики начнут игнорировать реальные проблемы безопасности, если слишком «увлеченные» программы будут регулярно привлекать внимание к доброкачественным событиям.
В конечном счете, многие проблемы связаны с неспособностью сформировать культуру безопасности в организации путем проведения регулярного обучения и тестирования. Но даже обученные люди оказываются удивительно восприимчивыми к манипуляциям злоумышленников. В психологической литературе показано, что хакеры часто обладают сильными чертами личности, характерными для «темной триады»: макиавеллизм, нарциссизм и психопатия. Люди, обладающие этими чертами, являются искусными манипуляторами и, как правило, не испытывают чувства вины за то, что используют эти навыки для получения желаемого. Это и есть социальная инженерия кибератак — завоевание доверия пользователя с целью подтолкнуть его к опасным действиям, например, к передаче паролей.
Любопытно, что высокий уровень нарциссизма у пользователей коррелирует с восприимчивостью к фишинговым атакам. Также как и высокий уровень невротизма, одной из пяти основных черт личности. В другом исследовании было обнаружено, что промедление, импульсивность, склонность к риску и нежелание думать о будущем приводят к повышенной восприимчивости к мошенническим действиям.
Использование тестов, измеряющих такие качества, может помочь определить риски кибербезопасности среди различных групп сотрудников, что позволит более целенаправленно их обучать и устранять проблему. Даже более неформальные опросы могут выявить различия в знаниях в области кибербезопасности, которые затем могут быть улучшены. Полезными могут оказаться и другие тесты, предназначенные для оценки конкретных навыков в области кибербезопасности.
В одном из исследований, в ходе которого были опрошены сотрудники двух ИТ-компаний, выяснилось, что больше всего знаний в области кибербезопасности не хватает сотрудникам отдела продаж. Несмотря на то, что некоторые сотрудники стремились узнать больше, они обнаружили, что доступ к этим знаниям отсутствует. Они столкнулись с проблемой недостатка времени для получения знаний при выполнении других своих обязанностей, что подчеркивает необходимость разработки более структурированных программ.
«Работодатели должны не просто проводить ежегодную программу повышения осведомленности о кибербезопасности, а готовить сотрудников к выявлению и адекватному реагированию на все более изощренные киберугрозы — как в личной жизни, так и на работе, поскольку удаленная работа и общие устройства размывают эти границы и создают все больше возможностей для хакеров и мошенников», — призывает Зульфикар Рамзан, главный научный сотрудник компании Aura.
Вопрос о том, как именно создать эффективную культуру кибербезопасности, является предметом дискуссий. Некоторые выступают за радикальную прозрачность, призывая сотрудников сообщать о любых своих потенциально опасных действиях без каких-либо последствий, чтобы их можно было устранить. Это, по их мнению, удержит их от сокрытия ошибок. Однако это также может привести к небрежному поведению сотрудников и их уверенности в том, что в случае ошибки кто-то другой всегда наведет порядок.
Другие специалисты предлагают системы наказаний за ошибки в области кибербезопасности — например, штрафы — и поощрения за последовательное соблюдение правил кибергигиены.
«Я не очень верю в призывы, но я верю в ответственность», — говорит Уильямс. В компании Infosys сотрудникам рассылаются поддельные фишинговые письма, и если они их открывают, то направляются на дополнительные курсы обучения. Исследования подтвердили эффективность такого подхода.
«Конечные пользователи должны проходить обучение по кибербезопасности не реже одного раза в квартал, причем особое внимание следует уделять геймификации этого процесса, чтобы сделать его более увлекательным и интересным», — добавляет Джонс.
Даже такие, казалось бы, произвольные шаги, как постоянное изменение формата предупреждений о безопасности, могут заставить пользователей обращать на них больше внимания. Если одно и то же предупреждение появляется несколько раз в одном и том же формате и оказывается ложной тревогой, у пользователей возникает привыкание. Если же предупреждения постоянно меняют форму — так называемые полиморфные предупреждения, — пользователи с большей вероятностью обратят на них внимание.
Хотя эти масштабные культурные изменения могут показаться пугающими — и потенциально дорогостоящими, — их освоение может означать разницу между спокойным плаванием и превращением в жертву цифровых пиратов. Поэтому расчистите палубы, закрепите груз, приведите в порядок команду и возьмите безопасный курс.