Цифровая трансформация для директоров и собственников. Часть 3. Кибербезопасность. Часть 3. Кибербезопасность
Джимшер Бухутьевич Челидзе
Эта небольшая книга вмещает в себя много материала об информационной безопасности, изобилует статистикой, примерами и деньгами. В книге даны пошаговые рекомендации по защите компании от киберугроз.Как и в предыдущих частях о цифровизации, я фокусируюсь на системном подходе, избегая классической ошибки – фокуса на технологиях и ожидания чуда от них. В книге показано, как ИБ связана с процессами, компетенциями, внутренней коммуникацией, бережливым производством и управлением проектами.
Цифровая трансформация для директоров и собственников. Часть 3. Кибербезопасность
Часть 3. Кибербезопасность
Джимшер Бухутьевич Челидзе
Редактор Александр Александрович Перемышлин
Дизайнер обложки Александр Александрович Перемышлин
Иллюстратор Александр Александрович Перемышлин
© Джимшер Бухутьевич Челидзе, 2023
© Александр Александрович Перемышлин, дизайн обложки, 2023
© Александр Александрович Перемышлин, иллюстрации, 2023
ISBN 978-5-0060-4654-2
Создано в интеллектуальной издательской системе Ridero
Предисловие
Здравствуй, дорогой читатель. Это заключительная книга про цифровизацию и цифровую трансформацию. В первой книге мы разобрали, что такое цифровизация и цифровая трансформация, зачем они нужны, в чем разница, какие есть подводные камни. Во второй познакомились с системным подходом, который применим не только для цифровой трансформации, но и в целом для любого бизнеса. Системный подход сочетает проверенные инструменты и цифровизацию, доступен любому и призван повысить отдачу от цифровых технологий, а также минимизировать риски, связанные с организацией работы. При этом, еще в первой части мы проговорили, что в ролевой модели для цифровой трансформации необходим специалист по информационной безопасности. И именно этому направлению я решил посвятить отдельную книгу.
Казалось бы, цифровизация и кибербез несовместимы, но без того, чтобы их подружить, невозможно продолжать цифровизацию. Недавно у Дениса Батранкова я встретил хорошее определение, почему же нужно заниматься информационной безопасностью сейчас: «Раньше безопасность была построена на истории про акулу: не надо быть впереди всех уплывающих от нее – достаточно быть впереди последнего. А вот сейчас, когда целью акулы являешься именно ты – защищаться стало сложнее». И это определение крайне точно описывает текущую ситуацию, так как с каждым годом атаки хакеров становятся все более адресными. А 2022 год вообще стал знаковым.
Этой книги не было бы без исследований Positive Technology (далее – PT), ставших первыми моими проводниками в мир кибербезопасности. И если вы любите досконально погружаться в первоисточники, детали, то рекомендую изучить эти исследования. QR-коды и ссылки на них будут в конце книги.
Книга состоит из трех частей. Первая посвящена обзору и анализу текущей ситуации. Будет много цифр, статистики, аналитики, денег. Задача первой части – сформировать у вас осознание проблемы и понимание того, что информационная безопасность (далее – ИБ) – направление столь же стратегическое, как и вся цифровизация, и она достойна вашего внимания. Главный тезис обозначу сразу – узкое место в безопасности, как и во всей цифровизации, – процессы и люди, не только ваши, но и в команде разработчиков программного обеспечения (далее – ПО).
Вторая часть посвящена интеграции информационной безопасности с точки зрения системного подхода.
Системный подход – компоненты
Ну, а третья часть посвящена практическим рекомендациям, что делать здесь и сейчас, как выбирать ИТ-решения для информационной безопасности, что необходимо знать людям и какие нужны компетенции.
Если вы читали предыдущие книги, то уже знаете мой подход – чтобы кого-то контролировать и делегировать задачи, доверять своей команде, нужно хотя бы базово понимать ее работу. И ключевая задача всей книги – дать вам базовые знания для выстраивания эффективной работы со своей командой и директором по ИБ (далее – CISO) с наименьшими трудозатратами и рисками для вас.
Также, чтобы исключить возможное недопонимание, давайте разберем, в чем разница между информационной безопасностью и кибербезопасностью?
Информационная безопасность – это деятельность, которая связана с предотвращением несанкционированного доступа, использования, раскрытия, искажения, изменения, исследования, записи или уничтожения информации.
Кибербезопасность – все то же самое, только связанное с ИТ-системами и компьютерами.
Часть 1. Зачем заниматься информационной и кибербезопасностью?
Глава 1. Погружение и про деньги
В 2023 году уже очевидно, что без использования цифровых технологий невозможно ни вести бизнес, ни комфортно жить, ни управлять государством.
Если говорить про государственные сервисы, то госуслуги в виде онлайн-сервисов развиваются по всему миру. Россия же здесь вообще в числе мировых лидеров. Я, например, использую цифровые сервисы государства и для записи ребенка к врачу, и для просмотра его прививок с результатами анализов, и для оплаты штрафов, налогов, отправки налоговых деклараций.
Если говорить про коммерческий сектор, то он вообще без онлайн уже не может: оплата товаров, бронирование билетов, получение услуг, консультаций, появление цифровых советников.
В общем и целом, цифровизация и автоматизация всюду. И если их игнорировать, то вы будете просто неконкурентоспособными. А если хотите понять, что примерно нас ожидает через 5—10 лет, то рекомендую почитать наблюдения Евгения Бажова о том, что происходит в Китае, в его книге «Made in China. Как вести онлайн-бизнес по-китайски».
Давайте еще, для примера, коснемся работы с кадрами. Без облачных технологий и гибридного / удаленного режима работы вам будет намного сложнее привлекать талантливых сотрудников и/или будете значительно за них переплачивать. Да, рынок труда, конечно, меняется, и сейчас вновь работодатель начинает диктовать среднему работнику свои условия. Но это про средних работников. А если вы хотите привлекать таланты, то удаленка является мощным преимуществом. По моим личным наблюдениям удаленка / гибрид позволяет сэкономить на фонде оплаты труда до 30—40%. Молодые, гибкие, голодные до успеха компании этим активно пользуются. И в вакансиях я встречаю одну тенденцию: те, кто хотят меньше платить, просто дают возможность удаленной работы. Конечно, подробную статистику по срокам закрытия этих вакансий я не веду, но закрываются они быстро. Кажется, что даже быстрее, чем у компаний с более высокими зарплатами, но требованием ежедневно присутствовать в офисе.
Казалось бы, вот оно счастье – цифровизация. Но там, где появляются возможности, возникают и риски. Так, например, развитие удаленки в ковидный 2020 год привело к росту взломов мессенджеров и систем коллективных конференций. И ладно, если б просто подключались и портили онлайн-собрания, но у хакеров появилась другая тактика – они копируют конфиденциальные записи встреч и чатов, чтобы потом заниматься вымогательством. Еще один современный тренд – шифрование внутренних файлов с целью последующего выкупа.
Также необходимо посмотреть на небольших разработчиков ИТ-продуктов: сами по себе они могут быть никому не интересны, однако их могут атаковать для того, чтобы встроить в их продукт вредоносное ПО, и уже через него атаковать крупную компанию. И реализовать такой сценарий можно, даже не атакуя ИТ-инфраструктуру – нужно лишь завербовать удаленного сотрудника, который сам внесет нужные изменения в код. Такой подход, когда большие компании атакуются через подрядчиков и поставщиков, называется «атакой на цепочку поставок». Это еще один из главных трендов, начиная с 2021 года. В 2022 году до 30% целенаправленных атак приходилось на эту тактику.
Рисков тут добавляют и рост сложности ИТ-решений, и снижение квалификации среднего разработчика, ведь чем дешевле разработчик, тем выгоднее все с точки зрения экономики. Конкуренция и рынок хотят комплексных решений по минимальной цене, что обязывает искать способы снизить стоимость продукта. Но в итоге все это ведет к увеличению количества дыр в ИТ-решениях. И вам угрожают не только прямые финансовые и юридические риски, связанные со штрафными санкциями от поставщиков и государства и с уголовной ответственностью, но и репутационный ущерб. А если вы вышли на биржу, то это еще и риски падения капитализации.
Наиболее яркий пример этого – атака на компанию SolarWinds. Их клиентами были правительственные учреждения США и более 400 крупнейших американских компаний. Хакеры внедрили вирус в их решение и атаковали их клиентов. Результат – падение стоимости акций на 40% за несколько недель.
Если же посмотреть на абсолютные числа, то с начала 2017 по конец 2022 года количество зафиксированных атак увеличилось с 985 до 2921, то есть рост составил 196,5%. Тут, конечно, надо учитывать и то, что научились лучше выявлять атаки, но, забегая вперед, скажу, что даже сейчас в 70% исследованных компаний выявлены вирусы, о которых и не знали. При этом количество целевых атак увеличилось с 43% в 2017 году, до 67% в 2022. И несмотря на то, что в 2021 году целевых атак было 73%, вероятность целевой атаки высока. Ведь 2022 год – год войны в киберпространстве, настоящая и широкомасштабная.
Теперь про деньги. Средняя стоимость выкупа, которую компании платят хакерам, также растет. Если раньше ограничивались условными 1—2 тысячами долларов, то сейчас это 4,35 млн. То же самое касается и максимальной выплаты. В 2017 году она составляла 1 млн долларов, в 2022 – уже более 40 млн.
Прогнозы тоже пессимистичны. Так Cybersecurity Ventures ожидает, что глобальные издержки от информационных атак будут расти на 15% и к 2025 году достигнут по всему миру 10,5 трлн долларов США в год, при 6 трлн в 2021 году и 3 трлн в 2015.
Также приведу график от PT того, как изменяются атаки, на кого нападали чаще, и кто сейчас стал пользоваться спросом у хакеров.
Атаки на компании от общего числа
Тут я рекомендую обратить внимание на финансовые компании – они все менее интересны, поскольку становятся все более сложными для атак. В целом же рынок «гражданского» хакерства все больше подчиняется законам бизнеса: злоумышленники ищут, как снизить стоимость каждой атаки и увеличить ее доходность. То есть хакеры ищут маржинальность. Но это касается только тех хакеров, которые не занимаются политическими заказами или целенаправленными атаками, например, от конкурентов. В итоге, с учетом того, что идет рост в сторону от массовых атак к таргетированным, уповать на одну экономическую целесообразность атаки не стоит. Если вас закажут, то вы будете атакованы. Особенно если вы – российская компания. А если вы – первое лицо, то именно вы под прицелом в первую очередь.
Глава 2. Про ответственность
Сейчас ответственность за информационную безопасность несет руководитель организации, что отражено в указе президента Российской Федерации В. В. Путина от 01.05.2022 №250. Под его действие попадают федеральные органы исполнительной власти (федеральные министерства, службы и агентства), руководство субъектов РФ, государственные фонды, государственные корпорации и компании (например, «Росатом», «Газпром», «Русгидро», «РЖД» и другие), стратегические и системообразующие предприятия, объекты критической инфраструктуры.
И если на 20 апреля 2020 года в перечень системообразующих организаций входило 646 юридических лиц, то к июлю 2020 года их уже было около 1300, а в феврале 2022 – около 1400. Но, казалось бы, если вы не попадаете в этот список, то зачем он вам? Тут надо понимать, что в нашей стране, если вы планируете расти, то так или иначе станете работать с такими организациями. А значит, лучше знать требования этого документа и быть готовыми. Всего же под действие нового указа попадет более 500 тысяч организаций.
Что же рекомендуется делать организациям, в соответствии с данным указом?
– Установить личную ответственность за обеспечение ИБ на руководителя организации, при этом выделить отдельного заместителя генерального директора, у которого будут полномочия и ресурсы обеспечивать ИБ. При этом необходимо либо создать структурное подразделение, ответственное за обеспечение ИБ, либо возложить такие функции на существующее подразделение.
– Необходимо провести инвентаризацию договоров с подрядными организациями, оказывающими услуги по ИБ. Теперь оказывать такие услуги могут только компании, которые имеют лицензию на осуществление деятельности по технической защите конфиденциальной информации от ФСТЭК России.
– Также ещё 30 марта 2022 года были введены ограничения на приобретение иностранного оборудования и программного обеспечения для субъектов критической информационной инфраструктуры (КИИ), которые осуществляют закупки по 223-ФЗ. С 1 января 2025 г. организациям запрещается использовать средства защиты информации, произведённые в недружественных государствах, либо организациями под их юрисдикцией, прямо или косвенно подконтрольными им либо аффилированными с ними. На весну 2023 года таких стран насчитывается 48. И даже если компания-поставщик ИБ-оборудования, например, из Китая, то все равно надо проверять ее аффилированных лиц.
Забегая вперед, выскажу одно предположение. С учетом всех утечек и важности этой темы для государства можно ожидать введения некой страховки, по примеру ОСАГО. Каждую организацию могут принудить страховаться от ИБ-рисков. И тогда то, как организация будет выстраивать функцию ИБ, будет влиять на размер ее страховой премии.
Глава 3. Про общие тренды
Главный тренд в области ИБ – в отрасль приходят профессиональные менеджеры. Те, кто раньше занимались «техникой», но теперь доросли до управленцев. Они думают как о технической стороне вопроса, так и о деньгах, процессах в организации, об ответственности, которую принимают на себя. И это серьезный вызов для ИБ-компаний. Ведь им нужно уже общаться не просто со специалистами, которые в теме, а находить общий язык с менеджерами. То есть объяснять в первую очередь на языке денег и гарантий.
Второй тренд – переход от размазанной защиты по всей организации, продвижения по уровням зрелости и использования лучших практик к модели гарантированной защиты от недопустимых сценариев: нарушение технологических циклов, хищение денег, конфиденциальной информации, шифрование всех данных. То есть переход от ИБ 1.0 к ИБ 2.0.
Это связано с тем, что все уже осознают невозможность защиты от всего. Во-первых, рост цифровизации и автоматизации приводит к увеличению числа используемого ПО. А значит, экспоненциально растет и количество направлений для атак. Во-вторых, как мы уже говорили ранее, все разработчики ИТ-решений стараются снизить затраты. Например, даже мировой ИТ-гигант IBM переносит свои производства в Индию, ведь там дешевле рабочая сила программистов. При этом качество кода от большинства индийских разработчиков оставляет желать лучшего. Это как китайские реплики оригинальных товаров. Все это приводит к падению качества ПО и росту количества и критичности уязвимостей.
Плюс даже опубликованные «дыры» разработчики не спешат устранять оперативно. Тут показательна статистика от PT. Из всех выявленных и отправленных разработчикам в 2021 году уязвимостей в промышленных ИТ-системах было исправлено меньше половины – 47%. При этом известно о них становится всему миру довольно быстро – в течение нескольких часов.
Всего же за 2022 год было выявлено и подтверждено около 25 тысяч новых уязвимостей, обнаруженных исследователями безопасности. Рост числа стартапов и выпускаемых ими программ, а также несоблюдение принципов безопасной разработки могут привести к тому, что в это число будет только увеличиваться.
В итоге и получается, что более чем в половине атак хакеры спокойно используют эти уязвимости и получают необходимый доступ за несколько минут. Сами же специалисты PT, используя известные уязвимости, смогли получить доступ к внутренней сети компаний в 60% своих проектов. А теперь добавим еще тот факт, что белых хакеров и исследователей не так уж и много, а разработчики просто не знают о всех дырах. Хакеры же не стремятся публиковать найденные уязвимости в открытом доступе. В то же время сам теневой рынок хакеров находится на подъеме.
Динамика теневого рынка
В-третьих, атаки вместо массовых становятся целенаправленными, то есть таргетированными. Как уже говорилось, если раньше таких было 43%, то сейчас на уровне 70%.
В-четвертых, как бы ни развивались технологии, узкое место – все равно люди. Так, с 2017 года количество людей, попадающихся на фишинговые письма, не только не уменьшилось, но, наоборот, кратно увеличилось. И в топе наиболее используемых и эффективных способов проникновения в компанию по-прежнему остается фишинг с помощью электронной почты. При этом темы рассылок, которые люди открывают чаще всего, остаются неизменными из года в год: зарплата, премии, социальные программы, ДМС, резюме. Кроме того, лучше всего работают рассылки, посвященные событиям в конкретной компании или подразделении. То есть растет роль социальной инженерии.
