Технологии идут вперед, и цифровой прогресс совершенно точно неизбежен. Неизбежность не звучит как что-то хорошее, хотя прогресс — это движение вперед. К чему же это противоречие? Штука в том, что с технологическим прогрессом в ногу идет и рост киберугроз, которые становятся острым и актуальным вызовом для компаний по всему миру. Угрозы становятся все более сложными и хитрыми, поэтому и методы защиты нуждаются в совершенствовании. В этом контексте аутсорсинг кибербезопасности становится неотъемлемой частью стратегии предприятий, сталкивающихся с новыми вызовами в области информационной безопасности.
Что происходит сейчас
Согласно отчету Positive Technologies от 13 ноября 2023 года, киберпреступники продолжают использовать вредоносное ПО, а социальная инженерия остается самой большой (92%) угрозой для частных лиц и одним из основных (37%) векторов атак на организаций. Более половины организаций (56%) пострадали от утечки данных в результате успешных атак. Поэтому не стоит откладывать актуализацию мер кибербезопасности в долгий ящик — угрозы всегда где-то рядом.
Среди трендов обеспечения ИБ на текущий момент можно выделить использование искусственного интеллекта генеративного типа. Обучение моделей позволяет системе обнаруживать новые и эволюционирующие угрозы, что делает этот подход эффективным в выявлении аномалий и защите от современных кибератак.
Однако количество кибератак продолжает расти: используются обычные приемы атаки — эксплуатация известных уязвимостей, DDoS, а также атаки с помощью социальной инженерии. В этих обстоятельствах пусть и нельзя говорить о тотальной неэффективности собственных мер в малых и средних компаниях, все же стоит помнить о том, что работа с ИБ должна носить непрерывный характер, она должна быть отлаженным процессом в компании. При этом покупка и внедрение даже самого дорогого решения не избавит компанию от необходимости постоянно следить за возникающими уязвимостями, исполнять собственные политики и обучать персонал.
Кибератаки и репутация компаний
Следует понимать, что кибератаки бывают разными. Какие-то смогут причинить компании не только инфраструктурный, но и финансовый ущерб. А последствия других можно будет легко ликвидировать, если удастся локализовать проблему и правильно подойти к ее решению. Однако, само понятие «угроза» весьма расплывчато: никогда нельзя знать наверняка, к какому масштабу бедствий готовиться.
Во сколько можно оценить успешную кибератаку? В зависимости от размеров цели ущерб может быть оценен в сотни тысяч рублей. В среднем — исходя из открытой информации — ущерб от атаки на сетевую инфраструктуру средней компании может начинаться от 700 000 рублей. Насколько это «больно», вы можете решить сами, но не всегда ущерб от кибератаки можно восполнить лишь денежным ресурсом.
Здесь мы подходим к вопросу репутационных рисков. Можно ли доверять компании, которая не позаботилась о достаточном уровне безопасности данных своих клиентов, в результате чего данные утекли в даркнет и стали доступны мошенникам? Можно ли пользоваться сервисом, зная, что в любой момент можно лишиться и денег, и сохранности своих личных данных? Ответ кажется очевидным. В долгосрочной перспективе, репутационный ущерб может привести к сильному оттоку клиентов, вплоть до закрытия сервиса или прекращения деятельности компании. Как видите, связь между двумя переменными тут самая прямая.
Как обезопасить компанию, если ресурсов не хватает?
Не всегда внутри компании есть экспертиза и ресурс для обеспечения должного уровня информационной безопасности. Отдел ИБ все еще можно вырастить самостоятельно, пройдя цикл найма и увеличив штат, попутно рассмотрев и взяв на вооружение некоторые технические решения. Есть и другой путь — использование аутсорсинговых сервисов.
Если есть четкое понимание того, какой уровень ИБ хочется видеть, и что можно отдать внешним подрядчикам, если у компании есть критерии оценки качества сервиса, аутсорс способен как разгрузить внутренние ресурсы, так и привнести нечто новое. Например, можно выстроить процесс управления уязвимостями с привлечением внешних специалистов, с использованием их собственных мощностей и ПО. Использование внешних ресурсов иногда может быть выгоднее, чем дополнительный найм, ведь так вы покупаете сервис, а сервис по умолчанию должен работать, в том числе и с соблюдением SLA. А цикл найма — это дополнительные временные и денежные затраты. Ну и если спускаться на более низкий уровень организации процессов, сотрудник может заболеть (банально, но реально) — сервис же предоставляется вне зависимости от того, болеет кто-то или в отпуске.
Никто не предложит вам «волшебную кнопку»: аутсорсинг кибербезопасности нельзя выбирать вслепую
Нельзя просто нажать на «сделать безопасно», а любой внешний сервис должен работать так, чтобы снизить вероятность наступления риска взлома или утечки. При этом работать сервис будет в достаточно «интимной» внутренней среде компании.
Если сервис достаточно описан, есть четкие критерии оценки, есть SLA/OLA и возможность контролировать результат, стоит рассмотреть такой сервис. Если же есть только обещания «будет безопасно, только дайте денег», и за этими словами нет никаких других — о контроле качества и оценке результатов, лучше поискать альтернативу.
Оптимально, если в компании уже есть сотрудник, отвечающий за информационную безопасность, обладающий пониманием того, куда должна двигаться компания в течение одного, двух, трех, пяти лет. Стратегическая осведомленность позволяет планировать и меры обеспечения достаточной степени безопасности. В таком случае внутреннему сотруднику потребуется лишь выбрать среди набора сервисов, предоставляемых аутсорс-компаниями, создать ландшафт под нужды компании и после контролировать качество исполнения.
Если выделенного сотрудника нет — не беда. Есть компании, которые помогут определить стратегию ИБ и критически-важные моменты: что необходимо внедрить сейчас, а что может быть приобретено позже. Цель всегда одна: снизить риски возникновения инцидентов ИБ, снизить возможный ущерб от случившихся инцидентов и обеспечить непрерывность бизнеса.
Не только внедрить единожды, но и поддерживать в долгосрочной перспективе
Как бы ни была технически защищена компания, какие бы разумные и правильные политики и процедуры не использовались, именно сотрудник является самым уязвимым местом в системе защиты. Без постоянного обучения и тренировки навыков цифровой гигиены все системы и меры защиты будут бесполезны. Без понимания, осознания и принятия политик и процедур — всё, что было заботливо написано и передано сотруднику, будет проигнорировано. Без постоянных тренировок, без демонстрации того, к чему может привести невнимательность, одного только наличия технической защиты будет мало.
Информационная безопасность — это не только те, кто ею занимается напрямую. ИБ — это область ответственности каждого сотрудника, и для компании критически важно, чтобы фраза «Безопасность — это личный вклад каждого сотрудника» была принципом не на словах, а отражалась в работе и корпоративной деятельности каждого.
Каким образом установить и поддерживать необходимый уровень знаний? Как контролировать успехи или неудачи в обучении каждого сотрудника? Как убедиться, что фишинг не достигнет цели? Сегодня существует множество решений для проведения обучения и проверки уровня знаний. Важно помнить — любое обучение должно подкреплять существующие политики, а также не быть неким абстрактным набором знаний или навыков. И вовсе не обязательно разрабатывать учебные курсы — можно найти и использовать уже готовые решения, в том числе и аутсорсинг кибербезопасности. Главное не забывать о цели обучения, и не «наказывать» сотрудников за возможные ошибки в процессе.