Карты, риски и кибербез

Бизнесу и отрасли информбезопасности нужна дорожная карта киберрисков

Резко возросшее количество утечек данных в нынешнем году продемонстрировало, что российская IT-инфраструктура содержит большое количество уязвимостей. И хотя ландшафт угроз за последние полгода принципиально не изменился, в новых условиях выживут лишь те, кто готов менять риск-профиль своих компаний, уверены эксперты.

РАССКАЖИТЕ НАМ

Главными рисками отечественные организации в нынешнем году называют остановку бизнес-процессов (52%), утечку конфиденциальных данных (23%), санкции (11%) и возросшие требования регуляторов (5%), рассказал гендиректор Anti-Malware.ru Илья Шабанов на конференции «Как управлять киберрисками в условиях повышенной неопределенности».

При этом в начале года 40% опрошенных пересмотрели риск-профили своих компаний, отметил он. Это внушает оптимизм, но возникают и опасения, что за этой цифрой скрывается некоторая имитация деятельности, говорят участники мероприятия.

Подобные бодрые заявления создают ложное ощущение безопасности, потому что оценка риска нужна не как самоцель, а как основа для принятия решений, за которыми последуют изменения, подчеркнула директор по консалтингу Positive Technologies Юлия Воронова. Она посетовала, что

специалисты по информационной безопасности очень часто не могут получить точную оценку рисков от бизнеса

Юлия Воронова, Positive Technologies:

– Нередко приходится слышать о том, что час простоя мобильного приложения некритичен для любого, независимо от размеров, банка. А ведь ответ на вопрос «Сколько мы потеряем?» нужен для того, чтобы понимать, какую сумму компания готова выделить для предотвращения наступления недопустимых событий.

При этом на ИБ-рынке циркулирует мнение о том, что количественная оценка киберрисков в нынешних условиях становится ненужной, отметил Илья Шабанов.

Эффективность количественного анализа зависит от качества входящих данных, обратил внимание руководитель направления консалтинга по информационной безопасности ГК Innostage Марат Цихмистров. Но, как правило, у бизнеса таких сведений нет.

Марат Цихмистров, ГК Innostage:

– Основываясь на собственном опыте работы, могу сказать, что я никогда не получал от клиентов адекватные сведения по возможным потерям. Это странно, ведь тот же продавец цветов четко знает, сколько он не заработает, если прекратит торговлю, например, 3 января или 7-8 марта.

Кроме того, обратил внимание он,

сейчас количественный анализ трудно проводить, так как очень сузился горизонт планирования

И никто не знает, сколько будет стоить через неделю или месяц аппаратное обеспечение для компьютеров или другое оборудование.

Как бы то ни было, количественная оценка безусловно необходима, убежден эксперт по управлению рисками холдинга «Информзащита» Евгений Сачков.

Евгений Сачков, «Информзащита»:

– Вначале мы делаем качественный анализ: формируется пул сценариев, из них выделяются приоритетные, а уже затем проводится количественная аналитика. Просто нужно интересоваться у заказчика, что, сколько и когда мы можем потерять.

Мнение экспертов подтвердили результаты исследования – около половины опрошенных Anti-Malware.ru респондентов считает, что количественные системы измерения киберрисков в настоящий момент важны.

УСЛЫШЬТЕ ИХ

Если в Сеть утекли публичные базы данных какой-то компании, в которых содержались адреса электронной почты, то с высокой долей вероятности они будут подвержены, например, таргетированному фишингу, рассуждает эксперт по исследованиям угроз информационной безопасности в «Лаборатории Касперского» Владимир Дащенко.

Владимир Дащенко, «Лаборатория Касперского»:

– В случае взлома коллег по цеху компании должны быть готовы к повышенному интересу со стороны хакеров. Кроме того, имеет значение размер и медийная известность организации. В целом, при прочих равных, более популярная компания более подвержена риску кибератаки.

Поэтому, заключает он,

адекватно проверить оценку киберрисков можно только после какого-то события у себя или других игроков рынка

Владимир Дащенко надеется, что в ближайшее время появятся зрелые решения, которые позволят просчитать масштаб рисков в денежном эквиваленте.

В Positive Technologies проводят верификацию возможности реализации недопустимых событий, рассказала Юлия Воронова.

Юлия Воронова, Positive Technologies:

– Если это удалось сделать, то нужно провести разбор сценария и попытаться усложнить его, чтобы просчитать действия, квалификацию и количество шагов потенциального злоумышленника. Это и есть помощь ИБ-отделу компании – обрисовать общий план возможного нападения.

Илья Шабанов предложил идею формирования отраслевых карт киберрисков, на которые компании могли бы ориентироваться в своей деятельности.

По мнению Юлии Вороновой, вероятность развертывания негативного сценария можно разделить на две категории:

• Для конкретного предприятия – ИБ-специалисты могут выдавать им шаблоны о возможных недопустимых событиях.
• Для отдельных отраслей – профильные министерства и регуляторы должны распространять среди них карты киберрисков.

Юлия Воронова, Positive Technologies:

– Единственный, кто может четко определить, что для предприятия является допустимым событием, – это его руководитель. Именно поэтому в указе №250 с 1 мая появилась фигура заместителя гендиректора, ответственного за кибербезопасность. Также говорится об оценке уровня защищенности, начинающейся с перечня недопустимых событий, который подписывает замглавы организации.

Количество утечек данных пользователей различных сервисов нарастает, сейчас уже никого этим не напугаешь, если это не сведения VIP-клиентов, сожалеет Юлия Воронова. Представителям ИБ-сферы сейчас нужно услышать бизнес – выяснить, что для него важно, и уже от этого отталкиваться при принятии решений, подчеркнула она.

Изображение: RSpectr, Adobe Stock