В России настала эра кибершторма — как компаниям пережить ее с минимальными потерями

Эра кибершторма в России. Начало

Никогда ранее одновременно не сходилось вместе такого количества факторов, влияющих на вероятность, разнообразие и масштаб негативных событий информационной безопасности — все они собрались в «идеальный кибершторм». 

В 2022 году в России значительно выросли как масштаб, так и частота DDoS-атак, взломов корпоративных сайтов, утечек конфиденциальных данных, фишинговых рассылок, в том числе, с вредоносным ПО. Такого увеличения числа кибератак на Россию ранее никогда не происходило — 2022 год точно войдет в историю как год масштабного кибершторма.

Как это произошло?

Предпринятая за последние годы активная цифровизация бизнеса подняла вопрос о надежности и безопасности ИТ-систем. С положительным эффектом модернизации появились и новые факторы риска — и это повлияло на увеличение количества киберугроз и величины ущерба от них. 

Сократилось и число доступных средств киберзащиты, в том числе относящихся к критически важным, что значительно снизило возможности специалистов по противодействию атакам. 

Можно ли пережить кибершторм без потерь для бизнеса?

Наиболее простой ответ на этот вопрос — нет, потому что в современном мире бизнес практически во всем зависит от технологий. Киберриск — его неотъемлемый фактор, и нет никакой возможности снизить его до нулевых значений. 

Поэтому главная задача в управлении рисками — это поиск оптимального баланса между ростом затрат и снижением уровня критичности угроз.

Читайте по теме: Десять IT-угроз для бизнеса и как от них защититься

Практическая защищенность и безопасность организации напрямую зависит от того: 

• насколько команда информационной безопасности наполнена высококлассными профессионалами;
• как выстроена архитектура средств защиты;
• насколько быстро закрываются уязвимости или происходит реагирование на инциденты. 

Все это — ключевые элементы успеха, но далеко не все, что требуется. 

Задача информационной безопасности — не пережить кибершторм «без единой царапины», а вести бизнес вперед с минимальными потерями от инцидентов и при минимальном увеличении бюджета. 

Именно такой подход дает организации решающее конкурентное преимущество.

Читайте по теме: Что такое Red Team и зачем бизнес взламывает сам себя

Каждый руководитель желает знать

Бюджеты на кибербезопасность будут расти на 13% в год до 2025 года, при этом результаты опросов показывают, что большинство финансовых директоров до сих пор не получает прозрачной информации об эффективности расходов на информационную безопасность. 

Чтобы принимать верные решения по стратегическому развитию бизнеса, руководству организации важно понимать:

1. Каким будет ущерб для различных сценариев «недопустимых событий»;
2. С какой вероятностью они наступят в текущих обстоятельствах. 

Иначе говоря — где лучше вовремя заплатить, чтобы потом не расплачиваться. Именно для этого и существует оценка и управление киберрисками. 

Читайте также: Как взломать своих сотрудников с помощью фишинга и зачем вам это делать

Киберриск — это динамичный фактор, который требует механизмов отслеживания и реагирования на его изменения. Это позволяет своевременно перенаправлять ресурсы на те области, где больше всего возрастает критичность. 

Если одновременно и в равной мере вкладываться во все виды потенциальных угроз и рисков, особенно чтобы максимально их снизить, расходы на информационную безопасность могут возрасти критически. 

Почему количество лучше, чем качество

Большинство директоров считает отчеты по профилю киберриска слишком техническими и абстрактными, особенно когда в организации используются различные варианты качественной оценки рисков (например, в виде тепловой карты — графического представления данных на двухмерной карте цветовыми обозначениями). 

Такие подходы: 

• позволяют покрывать регуляторные требования;
• дают определенное представление о профиле киберрисков.

Но они не могут показать финансовую эффективность системы управления информационной безопасностью.

Методы количественной оценки киберрисков лишены таких недостатков, так как оперируют финансовыми терминами и показателями. И это:

• позволяет уйти от эмоционального подхода, основанного на страхе, сомнениях и неопределенности, к инвестициям;
• помогает улучшить взаимодействие между бизнесом, отделами ИТ и ИБ.

Качественная VS количественная оценка рисков

Качественная оценка киберрисков — стандартом de facto, хотя при этом обладает рядом значимых недостатков и ограничений. 

Вот в чем качественная оценка проигрывает количественной и в чем выражается эта разница:

• Управление уровнем неопределенности и детерминизм в оценке

Качественная оценка требует от эксперта четкого ответа о величине ущерба или вероятности, например: «ущерб — крайне высокий, вероятность — средняя». Такой вид оценки подразумевает единичный исход события, что противоречит концепции прогнозирования. 

Методы количественной оценки изначально основаны на вариативности исхода: например, «вероятность от 3% до 15%, ущерб от 0,3 до 4 млн рублей», и позволяют задавать ширину этих пределов в зависимости от текущего уровня неопределенности. 

• Возможность математических действий и анализа

Качественная оценка рисков не предполагает математических действий с получившимися результатами — такие действия невозможны. Нельзя получить полный профиль риска путем сложения отдельных событий, если слагаемые выражаются терминами «крайне высокий», «средний» или «низкий». 

Количественные же методы оценки позволяют проводить любой анализ результатов. 

Читайте также: 12 видов кибератак, о которых следует знать каждому бизнесу

• Оценка финансовой эффективности

Оперируя терминами качественной оценки, проблематично рассчитать эффективность альтернативных вариантов управления риском.

Например, заявление «мы снизим вероятность одного риска с “высоким” ущербом с уровня “крайне высокий” до уровня “средний” за 40 млн рублей» не позволяет сказать, снизился ли реальный профиль риска на сумму большую, чем мы потратили, и какого эффекта можно добиться при применении мер стоимостью в 5 или 20 млн рублей. 

Количественная оценка позволяет использовать многие доступные механизмы оценки финансовой эффективности, а в методику уже заложены артефакты финансовой оценки: расчетная величина разовых потерь (SLE), среднегодовые потери (ALE) и возврат на инвестиции (ROI). 

Переход на количественную оценку рисков — советы для быстрого старта

Запуск количественного моделирования ущерба от риска в кибершторм позволит: 

• глубже понять зависимость корпоративных цепочек от информационных систем;
• посмотреть на риски без когнитивных искажений. 

И хотя сам процесс более требователен к ресурсам и экспертизе, он может использовать результаты ранее сделанной качественной оценки, а сам переход можно и нужно осуществлять постепенно.

Читайте также: «Средний размер выкупа — $247 000». Киберкриминалист — о мотивации хакеров и атаках на российские компании

Самые популярные и развитые методики количественной оценки уже достаточно хорошо описаны и реализованы в ряде продуктов, что делает их освоение и применение вполне доступным. 

Начать можно с таких шагов:

• Составьте реестр негативных сценариев, которые стоят в повестке топ-менеджеров. Это позволит сфокусироваться на важном, быть с бизнесом в одном контексте и составить карту недопустимых событий риска. 
• Определите стратегические риски, отобрав из общего списка недопустимых событий киберзависимые. Сформируйте для них наиболее вероятные сценарии реализации, используя накопленную статистику зарегистрированных атак и инцидентов и исследовательские отчеты.
• Совместно с бизнесом сформируйте количественно оцененный уровень аппетита к риску как по отдельным событиям, так и по его общему профилю.
• Применяйте методы оценки финансовой эффективности при формировании инициатив по развитию контрольной среды. Для определения областей, создающих наибольший уровень уязвимости, проанализируйте текущее состояние архитектуры, зрелости и эффективности имеющихся средств защиты ИБ. Обращайте внимание на соотношение стоимости инициатив и уровня снижения профиля киберрисков организации.
• Планируйте переход на инструменты по автоматизации управления СУР ИБ, если масштаб и уровень киберрисков вырос. Зрелые методики количественной оценки опираются на механизмы математического анализа и моделирования, которые без автоматизации могут стать очень ресурсоемкими.
• Интегрируйте управление рисками информационной безопасности в культуру управления рисками предприятия. Используйте полученные знания для формирования высокого уровня поддержки CISO со стороны высшего руководства организации.

Фото на обложке сгенерировано с помощью нейросети Midjourney