В 90-х, когда я работал админом в одном крупном ритейловом холдинге, эпидемией считалось распространение OneHalf или DIR в течение нескольких недель по всему зданию нашего офиса. И ты носился по кабинетам с пачкой трехдюймовых дискет, вылечивая пострадавшие компьютеры пользователей, которые просто обменивались игрушками на зараженных дискетах.
Шли годы, эпидемии становились быстрее и масштабнее; менялись и технологии защиты. И мы совершенно незаметно... привыкли к кибератакам, о которых ежедневно трубят СМИ. Вспомните, что было совсем недавно. Взлом Equifax и утечка данных по 140 миллионам клиентам. Взлом WPA2 и крики "ужас, ужас". Утечки данных из консалтинговых агентств "Большой четверки". Утечка из АНБ (вот уж спецслужба, держащая в страхе весь мир, превратилась в проходной двор для русских хакеров, которых никто не видел). Утечка 3 миллиардов (!) учетных записей из Yahoo. Ботнет Mirai с пропускной способностью свыше терабита в секунду. Очередной zeroday в Windows. Очередное расследование про APT. И что? А ничего. Мы свыклись с тем, что ежедневно происходит вокруг нас в мире ИБ. Атаки и уязвимости превратились в обыденность. Как ДТП, которые происходят десятками тысяч на дорогах только в России.
Возможно я не прав, но лично у меня никаких эмоций такие новости уже не вызывают. Ну взломали... Ну нашли дыру... Ну утекла база... Все это превратилось в обыденность. Значит ли, что с ней не надо ничего делать? Конечно же нет. Просто мы плавно, сами того не замечая, подошли к эпохе киберустойчивости. Я больше года назад кратко прошелся по этой теме и решил вновь вернуться к ней. И дело тут не в том, что ЦБ пишет ГОСТ по киберустойчивости. Просто сегодня мы уже не в состоянии строить информационные системы иначе. Это раньше мы пытались выстроить стену вокруг объекта защиты с помощью кучи разных технологий и решений - МСЭ, NAC, VPN, управление уязвимостями, патчинг и т.п. Но все это бесполезно - 100%-й безопасности (а многие почему-то стремятся к этому числу) достигнуть нельзя. Мы все слышали про эту аксиому (про отсутствие 100%-й безопасности), но с упорством маньяков пытается ее добиться, тратя на нее десятки и сотни миллионов рублей корпоративного или государственного бюджета. А потом нас ломают и мы стоит оплеванные перед руководством, которое с немым укором смотрит на нас и его глаза нам говорят "ну как же так-то?". А нам нечего ему противопоставить, так как мы сами обещали защитить компанию, забыв упомянув про невозможность достижения идеального результата. Более того, сам-то безопасник хоть и пытается бороться с киберугрозой и полностью ее нейтрализовать (особенно в госах, где по другому просто никак), но в душе он уже смирился, что его в любой момент могут взломать. Кстати, именно поэтому сейчас рынок переходит к модели Detection & Response (обнаружение & реагирование) и популярными становятся продукты типа EDR или аналогичные сервисы ( MDR ). Производители уже тоже не могут гарантировать (хотя когда они гарантировали) нейтрализации и предотвращения атак.
А вот киберустойчивость и говорит нам о том, что атак избежать нельзя, но можно с ними жить. Ведь киберустойчивость - это и есть свойство информационной системы, позволяющей ей существовать в условиях непрерывных или постоянных атак. Этот термин, который мы опять стащили у иностранцев (cyber resilience), очень похож на более привычный русскому языку термин "живучесть", который существует не только в военном лексиконе, но и в гражданском. Живучесть есть не только у судов (а именно эта ассоциация первой приходит на ум), но и у любого технического устройства. Именно этот термин подсказывает нам, что для обеспечения поставленной перед системой задач (Интернет-магазин, госуслуги, перевод денежных средств, непрерывность технологического процесса и т.п.) нам не надо пытаться защитить все - достаточно сконцентрироваться на жизненно важных для функции компонентах, обеспечивая их резервирование, дублирование, квалификация персонала, SDLC и другие задачи, которые, применительно к информационным системам, можно подчерпнуть из теории надежности.
Важно, что сейчас нет лучших практик в этой сфере (кроме, может быть, австралийцев, и то там не все публично) и не стоит их искать и на них ориентироваться. В прошлом году я уже приводил несколько примеров документов, посвященных киберустойчивости. Они все разные. И с тех пор появились новые и тоже разные. Например, Gartner в своих материалах регулярно подменяет понятия устойчивости и непрерывности бизнеса (что отчасти и неплохо). В ISO 22316 2017-го года "Security and Resilience - Organizational Resilience - Principles and Attributes" говорится тема BCM звучит не столь явно. По ISO устойчивость - это способность организации адаптироваться к изменяющемуся окружению и включает она множество совершенно различных дисциплин.
А, например, IBM (после покупки Resilient) стал использовать следующее определение: "киберустойчивость - это выравнивание возможностей по предотвращению, обнаружению и реагированию для управления, смягчения и ухода от кибератак". И это я еще не приводил определения IOSCO, SWIFT и ряда других финансовых структур, которые активно драйвят сейчас тему киберустойчивости (наш ЦБ не исключение). Важнее определения другое - поменять отношение к атакам и признаться самому себе (да и руководство к этому готовить, чтобы не было сюрпризов), что защититься от всех атак нельзя. И предотвратить их нельзя. И компрометация компании возможна. Как мне кажется, это уже половина успеха. От этого и строить свою стратегию обеспечения киберустойчивости.
Что она может в себя включать? Я бы выделил несколько элементов:
Есть и те, кто уже реализовал у себя такую программу. Например, финансовая группа KBC, которая оценивает свой уровень зрелости киберустойчивости и делает это не только для всей компании целиком, но и для отдельных подразделений. Тем самым достигается некоторая конкуренция между ними и они стремятся обойти своих коллег, достигая лучших показателей.
Красные зоны на радарной диаграмме показывают, что KBC еще есть куда стремиться.
В любом случае помните, что абсолютно живучих систем не бывает.
Шли годы, эпидемии становились быстрее и масштабнее; менялись и технологии защиты. И мы совершенно незаметно... привыкли к кибератакам, о которых ежедневно трубят СМИ. Вспомните, что было совсем недавно. Взлом Equifax и утечка данных по 140 миллионам клиентам. Взлом WPA2 и крики "ужас, ужас". Утечки данных из консалтинговых агентств "Большой четверки". Утечка из АНБ (вот уж спецслужба, держащая в страхе весь мир, превратилась в проходной двор для русских хакеров, которых никто не видел). Утечка 3 миллиардов (!) учетных записей из Yahoo. Ботнет Mirai с пропускной способностью свыше терабита в секунду. Очередной zeroday в Windows. Очередное расследование про APT. И что? А ничего. Мы свыклись с тем, что ежедневно происходит вокруг нас в мире ИБ. Атаки и уязвимости превратились в обыденность. Как ДТП, которые происходят десятками тысяч на дорогах только в России.
Возможно я не прав, но лично у меня никаких эмоций такие новости уже не вызывают. Ну взломали... Ну нашли дыру... Ну утекла база... Все это превратилось в обыденность. Значит ли, что с ней не надо ничего делать? Конечно же нет. Просто мы плавно, сами того не замечая, подошли к эпохе киберустойчивости. Я больше года назад кратко прошелся по этой теме и решил вновь вернуться к ней. И дело тут не в том, что ЦБ пишет ГОСТ по киберустойчивости. Просто сегодня мы уже не в состоянии строить информационные системы иначе. Это раньше мы пытались выстроить стену вокруг объекта защиты с помощью кучи разных технологий и решений - МСЭ, NAC, VPN, управление уязвимостями, патчинг и т.п. Но все это бесполезно - 100%-й безопасности (а многие почему-то стремятся к этому числу) достигнуть нельзя. Мы все слышали про эту аксиому (про отсутствие 100%-й безопасности), но с упорством маньяков пытается ее добиться, тратя на нее десятки и сотни миллионов рублей корпоративного или государственного бюджета. А потом нас ломают и мы стоит оплеванные перед руководством, которое с немым укором смотрит на нас и его глаза нам говорят "ну как же так-то?". А нам нечего ему противопоставить, так как мы сами обещали защитить компанию, забыв упомянув про невозможность достижения идеального результата. Более того, сам-то безопасник хоть и пытается бороться с киберугрозой и полностью ее нейтрализовать (особенно в госах, где по другому просто никак), но в душе он уже смирился, что его в любой момент могут взломать. Кстати, именно поэтому сейчас рынок переходит к модели Detection & Response (обнаружение & реагирование) и популярными становятся продукты типа EDR или аналогичные сервисы ( MDR ). Производители уже тоже не могут гарантировать (хотя когда они гарантировали) нейтрализации и предотвращения атак.
А вот киберустойчивость и говорит нам о том, что атак избежать нельзя, но можно с ними жить. Ведь киберустойчивость - это и есть свойство информационной системы, позволяющей ей существовать в условиях непрерывных или постоянных атак. Этот термин, который мы опять стащили у иностранцев (cyber resilience), очень похож на более привычный русскому языку термин "живучесть", который существует не только в военном лексиконе, но и в гражданском. Живучесть есть не только у судов (а именно эта ассоциация первой приходит на ум), но и у любого технического устройства. Именно этот термин подсказывает нам, что для обеспечения поставленной перед системой задач (Интернет-магазин, госуслуги, перевод денежных средств, непрерывность технологического процесса и т.п.) нам не надо пытаться защитить все - достаточно сконцентрироваться на жизненно важных для функции компонентах, обеспечивая их резервирование, дублирование, квалификация персонала, SDLC и другие задачи, которые, применительно к информационным системам, можно подчерпнуть из теории надежности.
Важно, что сейчас нет лучших практик в этой сфере (кроме, может быть, австралийцев, и то там не все публично) и не стоит их искать и на них ориентироваться. В прошлом году я уже приводил несколько примеров документов, посвященных киберустойчивости. Они все разные. И с тех пор появились новые и тоже разные. Например, Gartner в своих материалах регулярно подменяет понятия устойчивости и непрерывности бизнеса (что отчасти и неплохо). В ISO 22316 2017-го года "Security and Resilience - Organizational Resilience - Principles and Attributes" говорится тема BCM звучит не столь явно. По ISO устойчивость - это способность организации адаптироваться к изменяющемуся окружению и включает она множество совершенно различных дисциплин.
А, например, IBM (после покупки Resilient) стал использовать следующее определение: "киберустойчивость - это выравнивание возможностей по предотвращению, обнаружению и реагированию для управления, смягчения и ухода от кибератак". И это я еще не приводил определения IOSCO, SWIFT и ряда других финансовых структур, которые активно драйвят сейчас тему киберустойчивости (наш ЦБ не исключение). Важнее определения другое - поменять отношение к атакам и признаться самому себе (да и руководство к этому готовить, чтобы не было сюрпризов), что защититься от всех атак нельзя. И предотвратить их нельзя. И компрометация компании возможна. Как мне кажется, это уже половина успеха. От этого и строить свою стратегию обеспечения киберустойчивости.
4R киберустойчивости |
Что она может в себя включать? Я бы выделил несколько элементов:
- вовлечение руководства и правильные коммуникации с ним (полезно почитать рекомендации Международного экономического форума, которые указаны внизу заметки)
- программа управления инцидентами
- программа обеспечения непрерывности бизнеса
- программа повышения квалификации и найма квалифицированного персонала по ИБ
- непрерывный мониторинг ИБ (включая и третьи стороны - партнеров, контрагентов, поставщиков и т.п.)
- программа оценки эффективности ИБ
- страхование рисков (если вы верите в эту тему в России).
В принципе, многие из упомянутых пунктов и так реализуются многими компаниями. Вопрос только в системности такой реализации. Очевидно, что целиком и сразу перейти к киберустойчивости нельзя сложно - нужен поэтапный план с соответствующими метриками и оценкой их достижения. Например, Deloitte рисует такую картину поэтапного достижения нужного уровня киберустойчивости:
Есть и те, кто уже реализовал у себя такую программу. Например, финансовая группа KBC, которая оценивает свой уровень зрелости киберустойчивости и делает это не только для всей компании целиком, но и для отдельных подразделений. Тем самым достигается некоторая конкуренция между ними и они стремятся обойти своих коллег, достигая лучших показателей.
Красные зоны на радарной диаграмме показывают, что KBC еще есть куда стремиться.
В качестве заключения упомяну еще парочку интересных документов по киберустойчивости:
ЗЫ. И все-таки, чтобы не считать, что нет пророков в своем отечестве, рекомендую покопать тему надежности информационных систем. Например, Липатовскую прикладную теорию надежности автоматизированных систем (он про нее много книг написал и провел лекций).