Работать как часы: как совместить защиту и задачи бизнеса

Метрики ИБ, которые понимает бизнес

Одно из первых направлений работы при выстраивании системы ИБ — определение метрик эффективности. Среди множества показателей я выделяю два универсальных параметра: Mean Time to Detect (MTD) — среднее время обнаружения вторжения и Mean Time to Response (MTR) — среднее время реагирования. Эти метрики ценны тем, что понятны как техническим специалистам, так и бизнесу. Они описывают, за какое время атака будет обнаружена и как быстро группа реагирования на инциденты начнет действовать.

Однако метрики только верхушка айсберга. Ключевая методология, которую я применяю, — это оценка покрытия от возможных атак. Процесс выглядит так: необходимо изначально разработать модель угроз и оценивать, насколько эффективно созданная система информационной безопасности закрывает угрозы. Его следует подкрепить проведением реальных пентестов. Это наиболее комплексный и надёжный индикатор того, насколько комплексное решение ИБ эффективно.

Процессы важнее технологий: управление доступом

Многие компании сталкиваются со сложностями при увольнении сотрудников: забыли отключить учётную запись, не забрали технику и т. д. Но это вопрос не столько культуры информационной безопасности, сколько правильных процессов управления доступом. Я всегда начинаю с построения регламентированной процедуры на всех этапах жизненного цикла сотрудника.

При приёме на работу для сотрудника создаётся отдельная учётная запись, затем по ролевой модели доступа назначаются необходимые для работы права. Ответственность за назначение прав лежит на владельцах ресурсов — это критически важный момент, который многие упускают. Не служба ИБ должна решать, какие права нужны бухгалтеру для работы с 1С, а руководитель бухгалтерии или владелец этого ресурса.

Критически важен процесс увольнения сотрудника, когда у него отключают учётные записи, изымают права. Здесь инфраструктура по обеспечению информационной безопасности должна постоянно взаимодействовать с ИТ-подразделениями, HR-специалистами, возможно, со службой безопасности, обеспечивающей физическую защиту контролируемой зоны. Чтобы всё проходило гладко, нужно придерживаться регламентов, но не превращать их в бюрократическое препятствие для работы.

Культура доверия: от теории к практике

Можно создать идеальную систему защиты с самыми современными технологиями, но люди склонны проверять границы дозволенного на прочность. Кроме того, могут существовать уязвимости, связанные с бизнес-логикой, а не с нарушением информационной безопасности.

Приведу пример. Возможность проведения счёт-фактур окольными путями или совершения действий с CRM-системой в обход систем безопасности — это не техническая уязвимость в классическом понимании. Каким бы квалифицированным ни был ИБ-специалист, он может не обнаружить подобные проблемы, поскольку не является постоянным опытным пользователем бухгалтерских, CRM или других информационных систем. Поэтому критически важно получать от пользователей обратную честную связь. Система поощрения играет значительную роль в этом процессе. Необходимо, чтобы коллеги, окружающие сотрудника и работающие с ним, наблюдали за его поведением и своевременно сообщали, если обнаруживают какие-либо проблемы.

Существует матрица инсайдеров, похожая на матрицу MITRE ATT&CK. Она учитывает именно внутренних нарушителей, которые похищают данные. В этой матрице описаны случаи, когда сотрудника могут шантажировать или находить другие способы воздействия. Об этом тоже должны знать коллеги для того, чтобы вовремя оказать помощь.

Как измерить неизмеримое

Культуру доверия нельзя оценивать по универсальной шкале — для каждой компании она будет своя. На неё влияют история организации, сотрудники, внутренние процессы, стиль управления. Я рекомендую анализировать динамику год от года — сравнивать, насколько быстро, что и как сотрудники сообщают об инцидентах. Конкретный пример из практики: в компании работают 100 человек, вы провели тестовую фишинговую атаку, в отношении 20 сотрудников она оказалась успешной, но только трое сообщили, что попались. Это низкий показатель. Если же 80–90% честно признались, что перешли по фишинговой ссылке и ввели данные, — это хороший результат. Идеала достичь трудно, но стремиться к тому, чтобы количество таких сообщений росло, необходимо.

Второй параметр — количество обращений в службу ИБ с предложениями по совершенствованию ИБ-систем. Если количество таких предложений растёт, это говорит о развитии культуры доверия. Сотрудники не боятся указывать на проблемы, они становятся союзниками службы безопасности. Один из стимулов — добавить соревновательный элемент через рейтинги отделов, баллы за успешное прохождение тестов и обучающих модулей. Но главное здесь — не геймификация сама по себе, а создание среды, где говорить о проблемах безопасности — норма.

Контроль корпоративных ресурсов: где заканчивается этика

Использование корпоративной техники в личных целях — болевая точка многих организаций. Здесь важно найти баланс между контролем и доверием. Необходимо на уровне политики компании чётко определить, что использование корпоративной электронной почты и других официальных корпоративных каналов связи в личных целях категорически запрещено. Ясность правил — первый уровень защиты.

Второй — необходимо контролировать поведение сотрудников. И здесь возникает вопрос методов. Если в компании использование специализированных программ мониторинга недопустимо по этическим и моральным принципам, то контроль должен осуществляться через руководителя и коллег сотрудника. Это менее инвазивный подход, который требует развитой корпоративной культуры.

Если же сотрудник систематически нарушает политику и использует корпоративную технику в личных целях, необходимо внедрять жёсткие политики с использованием решений класса Mobile Device Management (MDM) для контроля за установленными приложениями, получаемым и читаемым контентом. Зная о наличии таких мер, с вероятностью 99,9% сотрудник не будет использовать корпоративную технику в личных целях.

Мой подход — всегда начинать с минимально инвазивных мер и усиливать контроль только при наличии реальных проблем. Тотальная слежка разрушает доверие быстрее, чем решает проблемы безопасности.

Обучение через геймификацию

Повышение уровня распознавания фишинговых атак и социальной инженерии требует регулярного обучения. Я рекомендую проводить его если не каждую неделю, то хотя бы раз в квартал или полгода. Ключ к успеху — геймификация. Можно подготовить курсы по информационной безопасности, сделав их максимально живыми и приближёнными к реальной работе компании. Это не просто технические инструкции — нужно показывать контекст применения, реальные кейсы из практики, объяснять логику решений по безопасности.

Внутри компаний-вендоров можно создать обучающие курсы при приёме на работу, посвящённые базовым мерам по ИБ для разработчиков, бухгалтеров, кадровиков. Каждый должен понимать свою роль в общей системе безопасности.

Формирование киберграмотности я рассматриваю как непрерывный процесс, поскольку важно, чтобы сотрудники осознанно подходили к ИБ-рискам, а не просто следовали инструкциям. Одна из задач — постоянно рассказывать коллегам о новых угрозах и приёмах мошенников, актуализировать знания.

Реагирование на APT: кто должен быть в команде

При реагировании на серьёзный инцидент, особенно класса APT, критически важна организация взаимодействия между различными службами. Необходимо создать общие чаты для всех участников процесса, определить входную точку — через кого можно обращаться, наладить быстрый обмен информацией, организовать при необходимости удалённые доступы или выезд специалистов на объект для сбора доказательств.

Критически важно понимать, кто входит в группу реагирования как со стороны ИБ, так и со стороны ИТ, и иметь эффективный канал связи. Если произошёл серьёзный инцидент, в экспертные группы необходимо включать специалистов по связям с общественностью или сотрудников, отвечающих за взаимодействие с прессой. Репутационный ущерб от неправильной коммуникации может превысить технический ущерб от самой атаки. Самое главное при организации работ — определить ответственных и создать каналы связи, понять, через кого информация должна поступать, чтобы не создавать избыточного информационного шума, и обеспечить связь между рядовыми специалистами. Чтобы всё проходило оперативно, эти процессы должны быть отработаны заранее, а не в момент инцидента.

Если речь идёт о коммуникации с официальными органами власти при компьютерном инциденте, то существуют регламентированные способы связи с регуляторами в области информационной безопасности. Об этом тоже нужно знать заблаговременно.

Выбор стратегии: лоскутное внедрение или архитектурный подход

Один из частых вопросов от бизнеса: с чего начать — с базовых мер или сразу строить комплексную архитектуру безопасности? Мой ответ: базовый набор мер ИБ нужен всегда. Без надёжной базы — защиты сети, настройки прав доступа, наличия регламентирующих и управляющих документов — нельзя внедрить более высокоуровневые средства защиты информации.

Существует два способа внедрять сложные технологические решения. Первый — лоскутный, когда средства защиты информации применяются для точечного закрытия каких-либо проблем. Это быстрее и дешевле на старте. Второй — комплексные архитектурные решения, когда мы сразу проектируем целостную систему. Они выглядят дороже и сложнее. Это правда. Но в долгосрочной перспективе, на горизонте более одного-двух лет, комплексное внедрение средств защиты информации даёт преимущества — их становится проще обслуживать, они более надёжно закрывают проблемы и потребности бизнеса, нежели отдельные решения, внедрённые разрозненно.

Рано или поздно компания приходит к более зрелому подходу интеграции решений. Вопрос в том, сколько ресурсов она потратит на переходный период с лоскутной архитектурой.

Ориентир на задачи, а не на инструменты

Решение вопросов по обеспечению ИБ должно отталкиваться от конкретных задач бизнеса. При этом важно уметь не просто реагировать на текущие запросы, но и предугадывать ближайшее будущее. Особенно важно это при выборе инструментов:

• Не гнаться за новшествами или модными трендами, а трезво оценивать бюджет и задачу. Надо честно спрашивать самого себя: я выбираю интересную игрушку или хочу помочь бизнесу? Ответ должен быть очевиден.
• Нельзя ограничивать себя в инструментах. Внутренние ресурсы, внешние сервисы или сторонние специалисты — выбор должен быть обоснован только интересами бизнеса и бюджетом. Не бойтесь привлекать внешних экспертов, если внутренние команды загружены. Помните, что выбранный инструмент должен максимально эффективно решить задачу.

При этом основным критерием выбора решений всегда является оптимизированное расходование корпоративного бюджета. Стоимость превентивных мер на случай какого-то события не должна превышать ущерб, который может нанести его наступление. Это базовый принцип управления рисками, о котором иногда забывают в погоне за максимальной защищённостью.

В конечном счёте моя задача как архитектора информационной безопасности — найти баланс между защитой и возможностями бизнеса, между инвестициями в безопасность и реальными рисками, между контролем и доверием. Именно в этом балансе и заключается настоящее искусство информационной безопасности.