Инвестиции в информационную безопасность: о бюджетах и кадрах

С каждым годом киберпреступность растет, посягательства на деньги, информацию и репутацию компаний становятся масштабнее, а действия злоумышленников — изобретательнее. Какие пути информационной защиты в современных условиях наиболее эффективны? На этот вопрос отвечали участники панельной дискуссии по информационной безопасности в рамках прошедшей 8 февраля конференции «Вызовы цифровой трансформации» (организатор: РАНХиГС). Опытом делились представители компаний InfoWatch, Ростелеком-Solar, Концерн Калашников и TalentTech.

Обсуждались два основных вопроса. Первый — отношения служб информационной безопасности (ИБ) с другими департаментами и сотрудниками. Второй — тактика борьбы служб ИБ за бюджет.

Страсти вокруг бюджета

Сегодня для российских бизнесменов вопросы кибербезопасности далеко не приоритетны. Во главе угла, как всегда, прибыль. Пока инцидент не случился, думать о безопасности нет повода, а случись беда — это лишь доказывает: вкладывай или не вкладывай в безопасность, а от потерь все равно не убережешься. Как убедить бизнес раскошелиться на ИБ?

Как показала практика, наиболее действенная аргументация в борьбе за бюджет — это использование метрик, разговор на языке цифр и перевод задач служб ИБ в конкретные суммы предотвращенных финансовых потерь.

Сколько попыток хищения денежных средств было предпринято в прошлом году и какую их долю удалось предотвратить? Если показатель составил 93%, то на будущий год служба ИБ может взять обязательство повысить его до 98%. Но, конечно, при условии достаточных вложений в необходимое программное обеспечение и обучение сотрудников. А какова была доля ложных срабатываний системы безопасности? Ведь это тоже переводимые на язык денег неоправданные трудозатраты. И их можно предотвратить, если потратиться на замену устаревших звеньев в системе ИБ. А какую сумму выручки недополучила компания в результате оттока клиентов, напуганных просочившейся в СМИ информацией об инцидентах? А сколько недополучили в результате кражи клиентской базы, которая была перепродана на черном рынке конкурентам? Во всех тех случаях, когда можно хотя бы в первом приближении оценить финансовые потери от кибератак, есть возможность расчетно обосновывать бюджетные запросы: затратим на безопасность столько-то, зато потери уменьшатся на столько-то. Для обоснования бюджета на ИБ можно использовать собственную статистику компаний, а при ее отсутствии – статистику отрасли.

На ИБ должен работать каждый сотрудник

Аналитика инцидентов последних лет красноречиво свидетельствует: все чаще слабым звеном в информационной защите оказывается человеческий фактор. Атака на информационные активы компании может начаться с захвата управления любым компьютером, принадлежащим любому подразделению.

Вот некоторые цифры по инцидентам в РФ, собранные на большой выборке компаний. Более 70% сложных атак начинаются с фишингового письма, получив которое сотрудник неосмотрительно кликает на ссылку в тексте послания. Доля сотрудников, совершающих такие неосмотрительные переходы, составляет 30% от всего персонала организаций. Среднее время от начала атаки до взлома первого компьютера составляет меньше, чем полминуты. Получив контроль над одним компьютером, злоумышленники легко используют его как точку доступа к администрированию всей информационной системы. 49% вредоносного ПО устанавливаются через электронную почту. Подбор ключей доступа не проблема, если сотрудники, — а таких большинство, — практикуют короткие пароли, используя их в самых разных аккаунтах. Исследование показало: каждый 7-й сотрудник поддается на уловки социальной инженерии. Наиболее уязвимыми для преступных уловок оказались юридические службы (каждый 4-й сотрудник). За ними следуют сотрудники бухгалтерии (каждый 5-й) и, наконец, секретариат (каждый 6-й).

Эксперты сошлись на том, что сегодня как никогда прежде актуально давно известное положение Британского стандарта: за обеспечение информационной безопасности организации должен отвечать каждый ее сотрудник. Что это означает на практике?

Во-первых, для выполнения своих задач службы ИБ уже не могут замыкаться на функционале своего подразделения. Их задача — налаживать горизонтальные взаимодействия со всеми службами. Проводить встречи с руководителями и персоналом и на понятном им языке, на жизненных примерах рассказывать и показывать:

• как действуют злоумышленники,
• к чему приводят нарушения правил информационной гигиены,
• какой ущерб это может нанести бизнесу,
• какие потери уже были в компании или у соседей,
• какую ответственность могут понести нарушители, если беда случилась по их вине.

Понятность и наглядность — основа прочных знаний. Правила же для рядового сотрудника несложные: не открывать ссылки в письмах от незнакомых лиц и компаний, ежеквартально менять пароль доступа на рабочем месте, знать признаки подозрительных сайтов и защищать информацию на личных смартфонах.

Во-вторых, не ограничиваясь инструктажами и объяснениями, необходимо проводить практические занятия с людьми, переводить знания по ИБ в привычки и тестировать уровень сформированности этих привычек на выходе. Пусть организация обучения и вся тяжесть подготовительных работ ляжет на службу персонала. Пусть часть этой работы отойдет линейным руководителям. Но только специалисты по ИБ, которые понимают смысл каждого правила, могут и проявить инициативу, и мотивировать, и предложить отвечающее особенностям компании содержание тренингов.

В-третьих, необходимо постоянно поддерживать высокую мотивацию людей на выполнение правил информационной гигиены. Один из наиболее действенных приемов — проводить время от времени учения, подкидывая сотрудникам фишинговые письма или взламывая их пароли.

И, наконец, последний принцип — непрерывное обновление учебных программ по ИБ. Сегодня новые виды кибератак появляются еженедельно, и ИБ-специалистам необходимо быть в курсе, получать свежую информацию из своего профессионального сообщества и готовить персонал к защите от новых видов информационных угроз.

О требованиях к качеству и основательности ИБ-подготовки персонала красноречиво говорит следующий кейс. В одной из компаний сотрудницы бухгалтерии прошли обучение по ИБ и на отлично сдали все итоговые тесты. После этого специалисты по ИБ разослали бухгалтерам фишинговые письма. Женщин поздравляли с 8 марта и предлагали открыть ссылку для получения 30% скидки на товары в интернет-магазине. Служба ИБ установила счетчик, который фиксировал каждую попытку перейти по ссылке из провокационного письма. Каково же было удивление, когда кликов по ссылкам оказалось почти в 20 раз больше, чем самих сотрудниц бухгалтерии! Оказывается, когда у них ссылка не открывалась — они пересылали письмо подругам: вдруг что-то получится у них! После разбора полетов по итогам этой «военной игры» проштрафившаяся бухгалтерия стала, пожалуй, одной из самых ИБ-подготовленных бухгалтерий страны.

Изображение: IT-world.ru