Принципы управления киберрисками: как выглядит хорошая безопасность?
Принципы управления киберрисками: как выглядит хорошая безопасность?

В мире киберрисков мы имеем дело с беспрецедентными событиями. Помимо хищнических атак, таких как глобальный инцидент с вредоносным ПО, который повлиял на бизнес Mondelеz и глобальная кибератака NotPetya, сейчас мы наблюдаем эпидемию кибератак.

Киберриски серьезно эволюционировали: от кражи и продажи данных в темной сети до серьезных вымогательств и разрушительных атак, где злоумышленники ищут немедленное денежное вознаграждение. Это новая угроза.

Вредоносные программы, такие как TrickBot, могут заразить всю корпоративную сеть, позволяя хакерам тайно получить доступ к системам, встраивать вредоносные файлы и очищать себя, не оставляя следов. Однако источник атаки не рассматривается, у хакеров есть время для отслеживания того, что ценно для организации, и подготовки более зловещей атаки.

Позднее все сети шифруются, и компании ставятся на колени, не имея доступа к электронной почте, платежным системам и операционным системам. Все подвергается сбоям: электронная почта, календари, Skype и VOIP, в результате чего компания не может работать или коммуницировать.

Предъявляется требование о выкупе, требующий оплаты, обычно в криптовалюте, для восстановления ключей для разблокировки систем. Эти атаки могут стоить компаниям от 100 000 до более 1 миллиона долларов и для ведения переговоров с хакерами требуются специальные услуги.

Мы видели, как компании со всей своей инфраструктурой информационных технологий были разрушены в разных странах, что делало их полностью изолированными. Кроме того, компаниям грозят штрафы за утечку данных, нарушение контрактов со своими клиентами из-за невозможности оказания услуг, последствий невозможности оплаты счетов и, конечно, их репутации в целом наносится ущерб.

Почему компании ошибаются?

Защитить цифровые активы компании стало намного сложнее, потому что цифровой ландшафт быстро меняется, застигая врасплох многие зрелые компании. Предприятиям необходимо определить, какие компоненты их бизнеса зависят от технологий и цифровых активов, где именно находятся эти активы (будучи менее осязаемые, чем твердые активы, такие как недвижимость или денежные средства), и как защитить их и данные, проходящие через них.

Часто новые системы развертываются и обрабатываемые данные не полностью идентифицированы, классифицированы или защищены соответствующим образом.

Старая модель «защиты центра» последнего десятилетия уже недостаточна для обеспечения безопасности компаний. Старая модель подразумевала защиту вашей сети и защиту компании по всему периметру. Теперь, когда данные обычно размещаются в облачных приложениях сторонних производителей и мобильных устройств, необходим новый подход.

Многие компании в настоящее время имеют устаревшие системы, которые нельзя просто заменить, учитывая связанные с этим расходы. Эти системы не являются «безопасными по своей сути», как некоторые из более новых систем, и многие не имеют даже базовых механизмов безопасности и все еще полагаются на несложные пароли, которые злоумышленник может легко обойти.

Методологии защиты также устарели, включая «воздушный разрыв» сред, предназначенных для изоляции систем друг от друга и защиты конфиденциальных данных. Старая модель безопасности «люди и процессы» развивалась, и теперь мы полагаемся на «людей, процессы и технологии».

До технологического бума безопасность была ручным процессом, люди должны были отслеживать системы или процессы в поисках угроз. Технологии теперь могут помочь автоматизировать мониторинг угроз.

Как выглядит хорошая безопасность сегодня?

Во-первых, важно отметить, что «хорошо» не является статичным состоянием, а то, что необходимо для обеспечения безопасности, должно быть динамичным и гибким. Во-вторых, никогда нельзя полностью исключить риск, но можно лишь снизить его до уровня, который любая конкретная организация считает коммерчески приемлемым.

«Хорошо» больше не имеет самых высоких стен или самых глубоких рвов, чтобы мешать плохим парням проникать в системы компании. В контролируемой среде «хорошо» означает:

Расширенная видимость потенциальных угроз, которые скажут вам, как и где защитить ваши системы.

Понимание того, как текущие угрозы могут повлиять на вашу организацию и ее информацию;

Понимание ваших ключевых бизнес-процессов и данных.

Знание того, как ваши данные регулируются в каждом регионе, и понимание других рисков, связанных с вашими бизнес-данными, такими, как коммерческий риск.

Понимание того, где ваш бизнес основан на технологиях.

Понимание степени контроля над этой технологией, например, является ли она устаревшей системой с устаревшей безопасностью или контролируется третьей стороной.

Понимание навыков вашего персонала и эффективности вашей структуры управления.

Количественная оценка затрат на кибербезопасность по сравнению со стоимостью, которую защищенные технологии приносят бизнесу.
Технически это означает, что вы должны видеть людей и процессы в вашем бизнесе, которые взаимодействуют с вашими технологиями и данными, чтобы вы могли идентифицировать риски. Это также означает наличие видимости атак благодаря передовой технологии обнаружения и сдерживания угроз. Вам также необходимо знать о случаях повышенного риска, когда угроза кибератак может быть выше, например, когда выдается патент или когда объявляется сделка M & A.

Средства управления, которые отвечают вашей бизнес-среде

Теперь нужны динамические элементы управления - элементы управления, которые реагируют на вашу бизнес-среду или на угрозы вокруг вас. Крупная коммунальная компания с агрессивной бизнес-стратегией по разработке программных предложений для услуг может обнаружить, что ее состояние безопасности не является динамическим и почти полностью построено на стратегии физической безопасности (защита физических активов) и, следовательно, неэффективна.

Предприятия часто имеют локальные средства безопасности для защиты своего бизнеса, а затем понимают, что приобрели облачные платформы, которые полностью незащищены. Например, крупные банки Великобритании в течение многих лет вкладывали значительные средства в обеспечение безопасности.

После того, как Управление по финансовому поведению разъяснило свою позицию по использованию публичных облачных сервисов посредством публикации FG 16/5 , ни одна из этих возможностей не была эффективной ни в одном из разработанных ими публичных предложений. Это дало банкам-претендентам явное преимущество.

В других ситуациях крупные компании в энергетическом секторе делали непомерные инвестиции в продвинутый анализ угроз, но были не в состоянии изменить свои средства управления, чтобы реагировать на полученную информацию. Для одной компании угроза увеличивалась или уменьшалась неделя за неделей, но ландшафт управления не мог реагировать или адаптироваться к меняющимся ландшафтам, что делало инвестиции неэффективными. В результате контроль не имел ничего общего с уровнем угрозы.

Почему гибкость так важна?

Гибкость имеет решающее значение, когда речь идет о снижении киберрисков, и требует от компаний понимания своего бизнеса и моделирования своей стратегии безопасности на основе текущей и будущей бизнес-стратегии. Вновь обращаясь к крупным банкам и нефтегазовым компаниям, многие из них офшорили все свои ИТ-центры и процессинговые центры, но не обладали достаточными внутренними знаниями или квалифицированным персоналом для управления сторонними поставщиками. Это означает, что они не понимают своего окружения и поэтому не могут быстро реагировать на меняющиеся угрозы.

Гибкость в среде управления также означает адаптацию к угрозам безопасности. Это может дать пользователям большую степень функциональности и свободы за счет развертывания передовых инструментов обнаружения угроз, а не блокирования пользователей.
Мы видели, как небольшие организации спасают себя от значительного воздействия, выдергивая кабели из сетевого подключения Интернета во время активной кибератаки. Этот подход в настоящее время используется в критически важных инфраструктурных организациях.

Разработав процессы типа красной кнопки, они могут отключить весь газовый компрессор или сегмент сети управления, например, если это представляет опасность для всей сети.

В прежние времена оператор станции просто не мог бы получить необходимые исполнительные полномочия для закрытия станции (учитывая, что это может привести к миллионным убыткам) в течение времени, необходимого для защиты от активной кибератаки. Кризисные планы нуждаются в обновлении, чтобы учитывать и встраивать быстрые ответы на киберспецифичные угрозы.

Как выглядят лучшие практики?

Подход к безопасности, который мы защищаем, основан на риске. Риск, обозначенный в этом контексте, означает оценку бизнес-желаний и целей, а также обоснование и обеспечение элементов, которые наиболее зависят от технологий. Это также означает, что уровень инвестиций в безопасность должен быть связан со стоимостью защищаемого актива в рамках конкретного коммерческого ландшафта.

Компания может изучить типы угроз, которым она подвержена, и выбрать, где развернуть средства управления, которые снижают риск до приемлемого уровня, но не влекут непомерных затрат для бизнеса. Это может включать развертывание некоторых улучшенных средств управления обнаружением, сегрегации сети и средств восстановления системы в производственной среде для обнаружения и сдерживания угроз и, при необходимости, для восстановления частей среды.

Сравните это с полной реконструкцией фабрики, прежде чем она, естественно, устареет, учитывая типичный 30-летний жизненный цикл таких активов.

Интеграция элементов управления и многоуровневой защиты для обеспечения их соответствия друг другу также важна. Покупка всех новейших инструментов не защитит ваш бизнес. Последовательная безопасность - это комплексная система людей, процессов и технологий, объединяющая друг друга для защиты стоимости бизнеса.

Мы часто видим, как клиенты разворачивают Office 365, потому что им говорят, что это безопасно, но затем они пренебрегают развертыванием многофакторной проверки подлинности (MFA) и другими расширенными средствами управления, доступными для его защиты, из-за предполагаемого воздействия на пользователей и удобства использования. Это сродни отказу от пристегивания ремня безопасности, а затем утверждению, что автомобиль небезопасен.

Как вы оцениваете риск и стоимость?

Безопасность, основанная на рисках, изначально ориентирована на бизнес. Если отделы ИТ и безопасности не ориентированы на бизнес, они будут рассматриваться как центры затрат, а не как деловые партнеры. При правильной практике охрана должна понимать и консультировать бизнес, но не пытаться его блокировать.

Таким образом, безопасность также должна соответствовать затратам на нее. Инвестиционный план безопасности должен всегда учитывать ценность в риске и подкреплять это значение соответствующими средствами контроля вплоть до процента от стоимости и никогда не должен стремиться к развертыванию защиты в целях безопасности или соответствия требованиям.

Возможность сформулировать бизнес-предложение безопасности имеет важное значение. Невыполнение этого требования в настоящее время приводит к недостаточным инвестициям в технологии, о чем свидетельствует значительное число нарушений, ежедневно публикуемых в средствах массовой информации.

С положительной стороны, эффективная кибербезопасность может стать огромным отличием, например, когда она используется для реализации возможностей на жестко регулируемых рынках. Стратегии кибербезопасности могут быть использованы для снижения риска технологий во время слияний и поглощений, инвестиций в новые технологии, такие как облако, Интернет вещей и искусственный интеллект, чтобы дать бизнесу конкурентное преимущество.

Подготовлено порталом Allinsurance.kz по материалам ankura.com