Как генеральным директорам оценить эффективность работы подразделения информационной безопасности и измерить киберриски с помощью понятных бизнес-метрик, рассказывает Антон Кузьмин, технический директор ИТ-компании Innostage.
Невнимание к кибербезопасности обходится компаниям слишком дорого. Российский бизнес за неполный 2024 год (по информации МВД на сентябрь) потерял 116 млрд рублей из-за киберпреступлений. По разным оценкам, количество кибератак за прошлый год выросло в 2-2,5 раза. И 50% инцидентов сопровождались остановкой бизнес-процессов компаний, отмечают в Positive Technologies (в 2021-2023 годах это происходило в трети случаев). Это говорит о том, что все больше бизнес-процессов становятся цифровыми, а значит, уязвимыми.
Нашумевшие случаи взлома инфраструктур и утечек данных не остались незамеченными: 85,2% организаций стали серьезнее относиться к защите данных и противодействию киберугрозам, а 36,8% пересмотрели свои политики безопасности. Инвестиции в ИБ в среднем составляют от 7% до 25% от ИТ-бюджета — и это коррелирует с мировой практикой в сфере кибербезопасности. Стоит отметить, что причинами для более внимательного отношения к ИБ стали не только увеличение количества кибератак и степень их влияния на бизнес. Усиливается государственный контроль, и наиболее болезненной регуляторной мерой стало введение оборотных штрафов за утечки данных.
Крупные и средние компании озаботились не только собственной информационной безопасностью, но и стали тщательнее относиться к выбору партнеров. Количество кибератак через подрядчиков и поставщиков за год выросло в 2 раза. Заказчики начинают требовать от контрагентов подтверждения их цифровой устойчивости через аудиты, пентесты и другие методы проверки.
Киберугрозы могут не только нарушить операционную деятельность, но и существенно повлиять на финансовые результаты, репутацию и конкурентоспособность организации. Поэтому генеральным директорам важно понимать, насколько защищена компания, эффективны ли вложения в кибербезопасность и те меры, которые предпринимает отдел ИБ.
В чем измеряется безопасность
В контексте кибербезопасности существует огромное количество разных метрик, которые применяют в зависимости от уровня зрелости ИБ и количества средств защиты информации (СЗИ). Например, можно взять процент ложно-положительных срабатываний того или иного инструмента. Эти сведения могут быть полезны для руководителя SOC или CISO, отдела антифрода, но вряд ли будут понятны топ-менеджерам компании, которые не погружены в терминологию и специфику ИБ. Более того, для них это совершенно не информативная метрика — на ее основе невозможно принять какие-то решения.
Также в качестве примера можно привести такие метрики, как среднее время до обнаружения инцидента (MTTD, Mean Time to Detect) и среднее время до его устранения (MTTR, Mean Time to Respond). С точки зрения топ-менеджера не очевидна их корреляция с уровнем защищенности компании.
Прямые затраты на ИБ и ФОТ службы инфобеза коррелируют с численностью штата, а также количеством купленного ПО и железа. Тем самым они вписываются в финансовые формулы, которые руководству понятны, однако сами по себе не в полной мере отражают реальный уровень информационной безопасности. Например, большое количество внедренных, но не настроенных средств защиты, продемонстрируют сомнительную эффективность, когда более скромное количество настроенных решений, наоборот, покажут себя хорошо.
Измеримая безопасность: три пути к понятной оценке
Наиболее близкая к реальности оценка может быть получена только практическим путем. Для этого есть три инструмента: пентест, багбаунти и открытые кибериспытания.
Пентест
Аудит защищенности — это классика информационной безопасности. Из отчетов пентестеров компания может почерпнуть для себя ценнейшую информацию о том, какие уязвимости есть в инфраструктуре, какие цепочки из них могут быть составлены и как их «закрыть».
В контексте пентеста важно учесть два фактора:
- Частота. Каждая компания в зависимости от своей зрелости сама решает, сколько пентестов проводить в год. Но формальный подход, когда аудит проводится один-два раза в год для соответствия требованиям регуляторов, не дает объективной картины.
- Ротация исполнителей. Если одна и та же команда этичных хакеров приносит все меньше результата, возможно, стоит сменить подрядчика, поискать людей с большей экспертизой и опытом.
Для наиболее зрелых компаний будут интересны полноценные redteam-проекты, когда служба ИБ не знает о проводимом аудите, а атакующие получают более широкий простор для своей работы. Загвоздка в том, что пентестеры не пишут отчеты для СЕО, а ИБ-специалисты, которым адресованы результаты тестирования, зачастую не способны переложить технический отчет на понятный бизнесу язык.
На основе пентест-отчета можно получить ответ, способна ли команда хакеров нанести вред инфраструктуре в конкретный момент. Но, чтобы донести необходимость инвестиций, ИБ-директор должен дополнить эту информацию убедительной бизнес-аналитикой. Фактически, ему нужно обладать компетенциями BISO и уметь превращать отчет пентестеров в документ, понятный CEO.
Багбаунти
Открытые программы поиска уязвимостей — это один из главных российских ИБ-трендов последних лет. На отечественных площадках представлены более сотни разных организаций, от государственных систем, до финтеха и промышленных компаний.
Казалось бы, эта история должна быть понятна и прозрачна для бизнеса, ведь компания платит исследователю за найденную уязвимость, исходя из ее критичности. Привлекается не отдельная команда, а одновременно тысячи багхантеров с разным бэкграундом, навыками и квалификацией. Это позволяет перейти от разовых замеров уровня ИБ в ходе пентестов к постоянному мониторингу. По факту же, в багбаунти тоже не дает СЕО адекватных показателей в логике затрат на выявленные и потенциальные баги. Если руководитель компании не технарь, для него это скорее еще одни накладные расходы без бизнес-ценности.
Главный недостаток метода в том, что багхантеры ищут уязвимости, а не бизнес-риски. Большинство из них не занимаются построением полноценных цепочек killchain. Как та или иная уязвимость скажется на бизнес-процессах компании ее специалистам придется определять самостоятельно.
Открытые кибериспытания (ОКИ)
Эта методика вобрала в себя все лучшее от багбаунти-программ и redteam-проектов. Исследователи получают выплату не за найденную уязвимость, а за реализацию бизнес-риска — инцидента, наиболее критичного для бизнеса. Например, кражу денег со счета, получение доступа к панели администратора, доступа к информации о клиентах и т.д. Каждый из этих инцидентов способен обрушить не только инфраструктуру, но и весь бизнес. Например, потеря денег со счета «обескровит» операционную деятельность вплоть до банкротства.
Фактически, планируя выход на открытые кибериспытания, компания определяет некую точку своей антихрупкости в том самом смысле, который в этот термин вкладывает его автор, Насим Талеб. Такуя проверка позволяет выработать механизм, помогающий не только выдерживать внешние агрессивные воздействия, но и получать пользу от их возникновения. Так обеспечивается непрерывность анализа защищенности с ориентиром именно на реализацию бизнес-рисков, а не поиск отдельных уязвимостей, которые могут никуда не вести.
И главное: если компания проходит ОКИ и выдерживает шквал атак, то черные хакеры скорее всего не будут пытаться ее взломать. Ведь для них прохождение ОКИ — индикатор того, что ловить в этой компании нечего и тратить на нее время (и деньги) бессмысленно.
Держать руку на пульсе безопасности
Киберриски должны быть понятны и измеримы для топ-менеджмента компании на трех уровнях: операционном, тактическом и стратегическом.
На операционном уровне решаются задачи реагирования на инциденты и снижения времени на восстановление бизнес-процессов. Так, для успешного противодействия атакам необходимо повышать качество раннего выявления угроз, а также обучать команды «защитников» с отработкой практических навыков противодействия атакам на киберполигонах.
Тактические цели — обеспечение непрерывности и прозрачности бизнес-процессов на всех уровнях. Также здесь нужно привести риски ИБ и бизнес-риски к единой терминологии. Например, в формате недопустимых событий, которые могут сказаться на работе компании. И, конечно, компаниям стоит проводить на регулярной основе оценку собственной киберустойчивости. Для проверки текущего уровня можно использовать пентесты, программы баг-баунти, непрерывный мониторинг периметра атак.
Верхнеуровневая ИБ-стратегия – история про устойчивое развитие. Управление киберрисками должно стать неотъемлемой частью общей бизнес-стратегии, где информационная безопасность рассматривается как инструмент защиты оцифрованных бизнес-процессов и обеспечения устойчивости компании на рынке.
Ключевые тезисы публикации
Антон Кузьмин, технический директор ИТ-компании Innostage, в экспертной статье для CISOCLUB рассказывает об инструментах и методологиях, позволяющих оценить эффективность мер ИБ в понятных бизнесу измерениях. Самый эффективный формат, опробованный Innostage на себе – открытые кибериспытания (ОКИ). Эта методика сочетает в себе преимущества багбаунти-программ и redteam-проектов. Свой путь к киберустойчивости Innostage проложила с помощью собственной мметодлологии Cyberyool.
- Предпосылки к замеру ИБ. Кибербезопасность стала важным условием существования бизнеса. Российский бизнес потерял 116 млрд рублей из-за кибератак в 2024 году. 50% инцидентов сопровождались остановкой бизнес-процессов.
- Причины усиления внимания к ИБ. Увеличение количества кибератак и их влияние на бизнес. Усиление государственного контроля и введение оборотных штрафов за утечки данных. Тщательный выбор партнеров и ужесточение требований к контрагентам.
- Измерение киберустойчивости. Существует множество метрик, но они не всегда понятны топ-менеджерам. Так, прямые затраты на ИБ и ФОТ службы информационной безопасности не в полной мере отражают реальный уровень защищенности.
- Практические методы оценки безопасности. Пентест - эффективный инструмент аудита защищенности, но требует ротации исполнителей и бизнес-аналитики. Багбаунти - поиск уязвимостей, но не бизнес-рисков. Открытые кибериспытания (ОКИ) – самая совершенная на сегодня форма оценки цифровой устойчивости, т.к. подстегивает независимых исследователей к реализации бизнес-рисков, тем самым проверяя антихрупкость.
- Уровни управления киберрисками. Операционный уровень: реагирование на инциденты и снижение времени восстановления. Тактический уровень: обеспечение непрерывности и прозрачности бизнес-процессов. Стратегический уровень: устойчивое развитие и интеграция ИБ в общую бизнес-стратегию.