Экономика уязвимости: как не терять деньги на дырах в кибербезопасности

Ежегодные потери от киберпреступлений в мире уже составляют триллионы долларов. Пандемия ускорила цифровую трансформацию и обострила проблему, обнажив уязвимости IT-систем. В результате кибербезопасность стала важнейшим экономическим фактором, который напрямую определяет прибыль компании. Потери только российской экономики от утечек в 2021 году оценивают на уровне 6 трлн рублей. Еще больше увеличится количество атак с распространением интернета вещей, считают эксперты.

Масштаб проблемы только растет, и оставить риски кибербезопасности без внимания не удастся никому. Однако работа в этом направлении требует инвестиций, перестройки процессов и адаптации к новым угрозам. Лидеры бизнеса делятся своим опытом и инсайтами, которые помогут преодолеть этот путь без лишних потерь.

Сегодня в лидерах по информационной безопасности (ИБ) финансовая и нефтегазовая отрасли, металлургия и машиностроение. При этом фокус кибератак смещается с секторов с высоким уровнем защищенности на более «мирские» отрасли, где все не так хорошо. Это результат того, что у злоумышленников появился доступ к простым инструментам взлома и возможность быстро получить выгоду для атакующих. В этих условиях вопросами ИБ уже нельзя заниматься «спустя рукава», это должен быть системно выстроенный процесс, интегрированный во все аспекты бизнеса.

Даже самая совершенная система киберзащиты имеет свои уязвимости. Вопрос в том, кто и как этими уязвимостями управляет. Операционные процессы ИБ требуют фундаментального пересмотра, применения новых подходов и инноваций: полной автоматизации рутинных операций, использования систем машинного обучения и искусственного интеллекта. Необходимо создавать базы знаний, сопоставлять ожидания бизнеса от службы ИБ с существующими процессами и сервисами. Результатом этой работы и должна стать актуальная стратегия ИБ, отвечающая потребностям бизнеса и дающая ему киберустойчивость.

В связи с пандемией на первое место вышли темы безопасного удаленного доступа и защиты данных информационных систем, контроля привилегированных пользователей, проактивного мониторинга кибератак, развития киберкультуры. Для ритейла наиболее значимые угрозы в 2021 году — фишинг (с элементами социальной инженерии), мошенничество, DDoS-атаки и атаки на цепочки поставок.

В нашей компании работа по направлению «кибербезопасность» прошла несколько стадий: от обеспечения базовой ИБ в текущих IT-процессах — до создания полноценной службы ИБ в составе дирекции по обеспечению бизнеса. Процесс был непростым, требовал пересмотра ролей разных подразделений, мы долго выбирали модель для построения системы менеджмента. В результате сегодня у нас есть стратегия ИБ, соответствующая целям бизнеса, политика ИБ с четким разделением зон ответственности, работающая сервисная модель ИБ, а также постоянная обратная связь от стейкхолдеров, топ-менеджмента и сотрудников. Кроме того, есть комплексная система повышения осведомленности сотрудников, современный набор средств и систем защиты, высокая степень соответствия законодательству и, главное, сплоченная команда единомышленников.

---

«За последние годы увеличился рост киберпреступности. Новые векторы атак появляются пару раз в год. С возникновением инцидентов новые угрозы из маловероятных быстро становятся вполне реальными. К таким относятся угрозы класса supply chain, которые не так давно приобрели актуальность.

Атакам подвергаются все критически важные сектора экономики: здравоохранение, IT, финансовая отрасль и энергетика. Программы-вымогатели наносят ущерб не только предпринимателям, но и правительственным организациям. Все больше компаний задумываются над тем, как защититься от потерь и повысить безопасность, но уровень готовности у всех разный. Главная задача — найти баланс между безопасностью и удобством для бизнеса. Для этого необходимо тщательно анализировать и оценивать риски.

В финтехе в силу развитой регуляторной системы всегда уделялось большое внимание кибербезопасности. Наша система включает защиту внешнего периметра, безопасность продуктов, внутренней IT-инфраструктуры, а также постоянное развитие киберграмотности всех сотрудников. Помимо обязательных регуляторных требований, для выстраивания системы менеджмента информационной безопасности мы руководствовались международным стандартом ISO/IEC 27002 и низкоуровневыми стандартами CIS Benchmarks для настроек конфигураций.

Если выстраивать систему с нуля, начать стоит с минимальной гигиены: разделить внешний и внутренний периметры и выстраивать защиту внешнего. Большинство инцидентов происходит с использованием известных уязвимостей, патчи на которые уже давно вышли, поэтому в программу минимум также входит установка обновлений ПО.

Важной задачей является повышение осведомленности в коллективе, чтобы превентивно снизить риск человеческого фактора при возникновении инцидентов. Программы по повышению осведомленности в QIWI (КИВИ Банк (АО)) совершенно разные, начиная от памятки безопасности и тестирования на фишинговые рассылки до поиска уязвимостей в коде.

При этом особое внимание стоит уделять топ-менеджменту компании: из-за доступа к конфиденциальным данным ущерб от взлома учетной записи топ-менеджера может быть несоизмерим со взломом учетной записи рядового сотрудника».

---

На мой взгляд, большой проблемой сегодня остается недооценка рисков информационной безопасности. Мы все должны осознавать, что это не какие-то мифические истории, а вполне реальные угрозы деятельности компании, которые связаны с финансовыми потерями.

Во-первых, это прямые потери в результате атак. Если основная деятельность компании зависит от IT-систем, их недоступность связана с прямыми финансовыми потерями. Мы помним и вирусы-шифровальщики, и различные целевые атаки, направленные на компрометацию инфраструктуры и недоступность сервисов. Во-вторых, репутационные потери: важно смотреть не только на прямые потери, но и на косвенные, которые возникают из-за снижения доверия бренду.

Мы становимся все более мобильными, граница корпоративного периметра постепенно размывается. Этот процесс начала не пандемия, но она его ускорила: многие перешли на гибридный режим работы, который требует других технических средств. В первую очередь это подключение рабочего места сотрудников к IT-системам, единое решение для коммуникаций вроде Microsoft Teams. Есть множество средств защиты информации: начиная от базовых — антивирусов, файрволов и систем защиты от утечек информации (DLP) до сложных систем и сервисов, которые могут выполнять роль центра обеспечения безопасности (SOC).

Важно не забывать, что многие риски связаны не столько с технологиями, сколько с фишингом и социальной инженерией, поэтому с точки зрения реальной кибербезопасности очень важна работа с сотрудниками, обучение. С перспективы ИТ-технологий в первую очередь стоит обратить внимание на защиту каталога домена и корпоративных сервисов, опубликованных в интернете, так как их взлом — это ключ к компрометации всего ИТ-ландшафта компании.

Универсальных решений в этой сфере нет. Нельзя сказать, условно, что лучшее решение — это отдельный контур с воздушным зазором или публикация всего и вся в интернете, чтобы сотрудники могли работать оперативно. Все зависит от системы, от рисков, от комплексного подхода к анализу. Мы всегда взвешиваем удобство, стоимость митигации и стоимость реализации каждого конкретного риска: исходя из этого внедряем те или иные организационные или технические изменения в компании. В России все больше компаний используют такой риск-ориентированный подход.

---

Сегодня главные цели киберпреступников — данные сотрудников и документы, в которых фигурирует коммерческая тайна. А самыми уязвимыми в мире и в России в последнее время стали правительства, дипломатические и оборонные организации, аналитические центры, образовательные учреждения, компании сферы услуг и разработчики ПО.

С переходом на гибридный/удаленный формат ситуация осложнилась. Теперь очень важно выстроить грамотную защиту не только внутри организации, но и для тех, кто работает из дома. Для этого необходимо научить сотрудников базовым принципам кибергигиены и убедиться, что управление киберрисками интегрировано во все аспекты бизнеса и не лежит только на плечах сотрудников по безопасности.

Как показывает практика, выполнение основных принципов базовой безопасности остается наилучшим способом защиты и устраняет 98% атак. Это включает многофакторную идентификацию, отслеживание подключенных к сети устройств и возможность в режиме реального времени принимать решения о доступе в систему.

В Microsoft уже давно практикуется режим гибридной работы, и о существовании периметра мы давно забыли. Наши сотрудники используют собственные мобильные устройства для доступа ко всем корпоративным ресурсам, в том числе вне офиса. Для обеспечения безопасности они находятся под управлением служб Intune, которые следят за тем, чтобы все обновления были установлены вовремя.

Также очень важно придерживаться концепции «Никому не доверяй» (Zero trust), которая рассматривает каждый запрос на вход в систему как потенциальную опасность — так, как если бы он исходил из неконтролируемой сети — и всякий раз предполагает дополнительную проверку.

Облачные технологии упрощают обнаружение и устранение кибератак на всех этапах их распространения. Зачастую важна именно скорость реагирования на инцидент, когда специалист не обладает достаточным объемом информации об угрозе. В такой ситуации очень кстати будет, если устройство конкретного пользователя будет автоматически отправлено в карантин для проведения дальнейшего расследования.