Вчера (28 сентября) я выступал на пленарной дискуссии конференции по промышленной кибербезопасности, устроенной Лабораторией Касперского в Санкт-Петербурге, и по ее результатам мне хотелось бы описать мысль, которую я пытался донести на мероприятии.
Идея моего пятиминутного выступления была очень простой - риск-ориентированный подход в промышленной кибербезопасности не работает. И причина тому проста - у нас отсутствует один из ключевых элементов формулы риска - вероятность его наступления. Как обычная она оценивается? Два классических подхода - оценка по фактам или оценка по ощущениям (она же экспертная). Первый метод, базирующийся на статистике, активно применяется в "офисной" ИБ, но не работает в промышленности, так как статистика инцидентов почти отсутствует или стремится к нулю. Да, у нас есть репозиторий инцидентов RISI , но даже в нем число примеров несравнимо с тем, что происходит и известно по обычным сетям. И строить на них адекватную картину не получается. Отсюда первый вывод - классическая оценка рисков по статистике (она же активно применяется и страховыми компаниями) в промышленной ИБ не работает. Пока не работает. Возможно, со временем ситуация изменится, число инцидентов будет расти (не хотелось бы), и тогда появится адекватная оценка вероятности происходящего.
Второй подход, экспертный, работает тоже из рук вон плохо, так как согласно психологии восприятия рисков человеку свойственно принижать проблемы, с которыми он не сталкивался. А мы, как уже видели выше, почти не сталкиваемся с серьезными инцидентами ИБ в своей практике, а если они и происходят, то мы считаем их случайностью. Если же инциденты случаются у наших коллег, то вступает в игру другое следствие из психологии восприятия рисков - предубеждение оптимизма, то есть классическое "с нами такого не случится" (достаточно вспомнить, сколько людей страхует свою жизнь, квартиру и т.п.). Второй вывод тоже прост - пока экспертная оценка работает тоже не очень хорошо. А тут еще и страшилки про сталелитейный завод к Германии (на конференции так никто и не назвал имени пострадавшей компании, но один человек по секрету на ушко мне сообщил, что он знает людей, которые точно знают, что произошло и где, но сам он этого не знает :-), которые только усиливает мнение бизнеса, что их стращают на пустом месте.
И вот тут мы подходим к неожиданному выводу - государство должно вмешаться и немножко порегулировать эту тему, так как бизнес сам не готов вкладывать в то, что может никогда не произойти или произойти с очень малой вероятностью. Но... не просто вмешаться, а сделать это грамотно и осмысленно. Для этого надо:
Идея моего пятиминутного выступления была очень простой - риск-ориентированный подход в промышленной кибербезопасности не работает. И причина тому проста - у нас отсутствует один из ключевых элементов формулы риска - вероятность его наступления. Как обычная она оценивается? Два классических подхода - оценка по фактам или оценка по ощущениям (она же экспертная). Первый метод, базирующийся на статистике, активно применяется в "офисной" ИБ, но не работает в промышленности, так как статистика инцидентов почти отсутствует или стремится к нулю. Да, у нас есть репозиторий инцидентов RISI , но даже в нем число примеров несравнимо с тем, что происходит и известно по обычным сетям. И строить на них адекватную картину не получается. Отсюда первый вывод - классическая оценка рисков по статистике (она же активно применяется и страховыми компаниями) в промышленной ИБ не работает. Пока не работает. Возможно, со временем ситуация изменится, число инцидентов будет расти (не хотелось бы), и тогда появится адекватная оценка вероятности происходящего.
Второй подход, экспертный, работает тоже из рук вон плохо, так как согласно психологии восприятия рисков человеку свойственно принижать проблемы, с которыми он не сталкивался. А мы, как уже видели выше, почти не сталкиваемся с серьезными инцидентами ИБ в своей практике, а если они и происходят, то мы считаем их случайностью. Если же инциденты случаются у наших коллег, то вступает в игру другое следствие из психологии восприятия рисков - предубеждение оптимизма, то есть классическое "с нами такого не случится" (достаточно вспомнить, сколько людей страхует свою жизнь, квартиру и т.п.). Второй вывод тоже прост - пока экспертная оценка работает тоже не очень хорошо. А тут еще и страшилки про сталелитейный завод к Германии (на конференции так никто и не назвал имени пострадавшей компании, но один человек по секрету на ушко мне сообщил, что он знает людей, которые точно знают, что произошло и где, но сам он этого не знает :-), которые только усиливает мнение бизнеса, что их стращают на пустом месте.
И вот тут мы подходим к неожиданному выводу - государство должно вмешаться и немножко порегулировать эту тему, так как бизнес сам не готов вкладывать в то, что может никогда не произойти или произойти с очень малой вероятностью. Но... не просто вмешаться, а сделать это грамотно и осмысленно. Для этого надо:
- привлекать экспертное сообщество (из разных отраслей) до принятия каких-то управленческих решений
- разработать понятные и дифференцированные критерии категорирования критических инфраструктур
- разработать решения, которые учитывают отраслевую специфику
- (самое главное) предоставить переходный период на реализацию разработанных требований (с этим у нас основная проблема и не только в промышленной ИБ).
То есть задача государства в данном случае помочь бизнесу "войти в реку", а не бояться, толкаясь на берегу в ожидании когда "накроет". Именно помочь, а не кошмарить угрозами введения уголовной ответственности с 1-го января 2018 года (а она же вступает в силу уже через 3 месяца). И это именно тот редкий случай, когда государство должно "вмешиваться". В остальных случаях такое вмешательство с обязательными требованиями только вредит. В конце концов задача государственного регулирования заключается в том, чтобы найти баланс между интересами бизнеса, общества, граждан и государства и помочь в тех случаях, когда эти сущности не могут договориться между собой без участия властей. Поскольку пока в области промышленной ИБ бизнес не всегда видит необходимость инвестировать в защиту от того, что никогда не случалось, то государство должно предвосхитить эти инциденты, которые могут иметь катастрофические последствия, внедрив свое регулирование.