Томас Паренти, Джек Домет
Кибербезопасность. Что руководителям нужно знать и делать
Посвящается Копернику
Предисловие партнера издания
Мы все время думаем о безопасности. Мы хотим, чтобы наши дети ходили в безопасную школу, жили в безопасном районе. Мы покупаем детские кресла в машины и надеваем на малышей шлем, когда отпускаем их кататься на велосипеде. Мы ищем экологически безопасные продукты, считаем «химию» опасной и остерегаемся ее. Мы не смотрим близко телевизор, надеваем шапку, когда холодно, и переходим улицу по пешеходному переходу — все ради безопасности.
В обычной жизни это происходит на автомате, но мы учимся первым делом определять угрозу. Шлем на ребенке, когда он катается на велосипеде, нужен потому, что существует угроза упасть. На улице угроза — это автомобиль, а в районе — хулиганы.
И, как показывает опыт, без преувеличения, всего человечества, всякий раз изменение уклада жизни, создание чего-то нового, развитие жизни привносят новые, ранее неизвестные угрозы.
Когда-то наши очень далекие предки научились добывать и поддерживать огонь. В каком-то смысле это создало угрозу пожаров. Промышленная революция навсегда изменила наш мир, ведь благодаря ей появилось все то, чем мы сейчас пользуемся. Но в то же время она породила и новые угрозы — аварии и травматизм на производстве, техногенные катастрофы, загрязнение окружающей среды. Автомобили перевернули наш мир и тоже породили новые угрозы — аварии, смерти на дорогах, загрязнение воздуха и ряд других.
Все эти угрозы оказались новыми для своего времени. И в этом их отличительная особенность. Первое время мало кто придавал существенное значение возросшей смертности на дорогах в результате автомобильных аварий. И понимание, как быть с этой проблемой, пришло далеко не сразу, ведь ни у кого не было готового решения, как с этой угрозой бороться, — она была новая для всего мира. Наша нынешняя эра — информационная — не исключение. Она тоже привносит свои и, что самое важное, неизвестные ранее угрозы.
Но есть еще один важный фактор угроз. C появлением каждой следующей обнаруживалось, что одни слои общества оказывались менее подготовлены и имели меньшую способность адаптироваться и противостоять угрозе, тогда как другие, наоборот, были более подготовлены и обладали большими возможностями справиться с ней. В наше время это звучит как само собой разумеющееся, но раньше было не так: риск пострадать в дорожно-транспортном происшествии выше у тех, кто едет в автомобиле или находится где-то рядом. Сейчас это всем понятно. В начале же ХХ века пешеходы и не думали, что они тоже «участники дорожного движения» и что в связи с этим количество угроз для них возросло. Первые эскалаторы воспринимались как аттракцион, и люди, пользовавшиеся ими, были сродни счастливчикам, которым довелось прокатиться на новом инженерном сооружении, а не пользователями технического средства повышенной опасности, как сейчас.
Информационные технологии тоже порождают угрозы. Старое доброе «упал сервер» и «тыкнуть мышкой» живет уже более 25 лет, но тем не менее для многих остается непонятным жаргоном. Чего уж говорить о фишинге, SSL и сертификатах подписи. Отчасти это объясняется стремительностью развития IT, а отчасти их сложностью — ведь информационные технологии трудно визуализировать и представить. Это сплошь абстракции и железная, но порой очень сложная логика.
И основная категория риска в информационных технологиях — это люди, для которых все это не является профессией или хобби. Как следствие, они не владеют специализированными терминами и не способны оценить, какие риски могут нести те действия, которые они совершают. В особую подкатегорию можно выделить людей пожилого возраста: у многих из них консерватизм и традиции побеждают желание держать руку на пульсе и поспевать за стремительными переменами.
Эта книга поможет новичкам, желающим больше понимать об информационной безопасности, продвинуться в своих познаниях в этой области. Она будет полезна и опытным профессионалам, которые почерпнут в ней много интересных деталей и новых подходов к привычным вещам.
В любом случае, кем бы ни был читатель, занимаясь или просто интересуясь вопросами информационной безопасности, мы делаем этот мир лучше и добрее. Любые знания в этой области помогут обществу развиваться дальше, а незащищенным гражданам жить чуточку спокойнее.
...Фёдор Дбар, коммерческий директор компании «Код Безопасности»
Введение. Стратегическое руководство по цифровому управлению
За последнее десятилетие цифровизация окончательно захватила мир. И хотя правительства, компании и общественные организации тратят миллиарды долларов на кибербезопасность, финансовые последствия киберпреступлений растут пропорционально инвестициям в меры защиты.
Открыв газету в любой точке мира, вы наверняка найдете историю о какой-нибудь сокрушительной кибератаке. Например, в 2016 году, в результате киберограбления, Центробанк в Бангладеш лишился $81 млн — значительной части валютных резервов страны. В 2017 году группировка The Shadow Brokers (или кто-то от ее имени) похитила несколько важных разработок Агентства национальной безопасности США. Среди украденного был инструмент EternalBlue, который хакеры затем использовали, чтобы запустить вирус WannaCry. Этот червь заразил более 230 000 компьютерных систем в 150 странах, а убытки, по оценкам, составили около $4 млрд. В 2018 году гостиничная империя Marriott объявила о взломе своей системы бронирования Starwood и об утечке личной и финансовой информации 500 млн гостей. А взлом индийской национальной идентификационной базы Aadhaar позволил хакерам украсть личные, финансовые и биометрические данные практически всего населения страны — 1,1 млрд граждан.
Очевидно, с этим нужно что-то делать.
Наш опыт консультирования клиентов по всему миру показал: ключевая причина, по которой миллиардные инвестиции в кибербезопасность до сих пор не окупились, — все упорно зацикливаются на технологической стороне проблемы. В центре внимания — главным образом компьютеры и компьютерные системы, а также их уязвимости, а не бизнес-риски для компаний и стратегическое управление в целом.
Конечно, у такого подхода есть причины — как исторические, так и логические. IT-специалисты первыми столкнулись с вопросами кибербезопасности. Они сосредоточились на особенностях атак и механизмах защиты, а также на том, как сделать операционную систему менее уязвимой. Да и в принципе без компьютеров не было бы киберрисков, так что технологические аспекты, несомненно, важны. Излишний фокус на устранении уязвимостей соблазнительно опасен именно потому, что в этом есть резон. Но по ряду причин акцент на технологиях в конечном счете не помогает повысить кибербезопасность, а скорее наоборот — подрывает надежную защиту, как бы парадоксально это ни звучало.
Ни у одной компании нет ресурсов, чтобы решить все технологические проблемы в этой области, да и не все исправления одинаково ценны. Только определив ключевые процессы вашего бизнеса и проанализировав, как киберугрозы могут им навредить, вы расставите приоритеты грамотно и сумеете принять меры. Кроме того, когда специалисты по кибербезопасности вникнут, как именно функционирует ваш бизнес, они тоже смогут действовать правильнее. В частности, им удастся избежать решений и действий, которые, какими бы благими намерениями ни диктовались, не снижают рисков, а порой, наоборот, увеличивают их и ломают отлаженные бизнес-процессы.
Специфика технологий кибербезопасности и язык, которым о них говорят, — зачастую понятный только профессионалам — тоже играют свою роль. Технически не подготовленным стейкхолдерам, например руководству компании, нередко трудно вставить свое веское слово при обсуждении киберугроз. Но если дискуссии будут начинаться с защиты как операционной, так и стратегической деятельности, наиболее ценной для вашего бизнеса, ситуация изменится. Это позволит вам и вашим коллегам по совету директоров контролировать управление киберрисками.
Только начав с оценки критически важной бизнес-деятельности, а не с технологий, ваша компания поймет, как выстроить адекватную систему кибербезопасности: какие программы купить и какие действия предпринять. Излишний фокус на технологиях также отвлекает внимание от других факторов, влияющих на эффективность продуктов кибербезопасности в значительно большей степени, чем сложность их функционала. Сюда относятся мотивация, стимулы и приоритеты людей, которые пользуются этими продуктами или играют иную роль в защите компании.
Мы не раз сталкивались с ситуациями, когда, например, сотрудники сознательно обходили меры безопасности, мешающие им работать. Иногда мы также наблюдали, как специалисты ослабляли киберзащиту, чтобы избежать дополнительной нагрузки и давления коллег: высокий уровень кибербезопасности вызывал ложные тревоги или нарушал бизнес-процессы. То, насколько эффективно работает команда кибербезопасности, зависит от ее места в структуре компании. Если у руководства другие приоритеты, сотрудники, отвечающие за борьбу с киберугрозами, могут не получить необходимого финансирования и полномочий.
