Кибербезопасность: от понятия до практики

1. О чем речь

Сегодня невозможно рассуждать о цифровой трансформации бизнеса, не коснувшись темы кибербезопасности. Технологии, которые лежат в основе цифровизации, одновременно являются и киберугрозами, вызывающими обеспокоенность не только со стороны профильных специалистов. Исследования консалтинговых компаний показывают, что одним из главных приоритетов топ-менеджмента и руководителей компаний в 2024 году стало снижение киберрисков.

Так что же такое кибербезопасность и информационная безопасность?  И при чем тут еще и защита информации? Давайте разберемся.

Для начала обратимся к Доктрине информационной безопасности РФ. В этом документе «информационная безопасность» (ИБ) понимается как состояние защищенности личности, общества, государства от внутренних и внешних информационных угроз. Таким образом, ИБ предприятия можно определить как состояние защищенности компании, при котором обеспечивается ее непрерывное и устойчивое функционирование на уровне приемлемых для бизнеса рисков.

Далее разберемся с термином «защита информации». Согласно ГОСТ Р 50922-96, это деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

В свою очередь, сybersecurity (кибербезопасность) — это процесс защиты информации путем предотвращения и обнаружения атак, реагирования на них, а также предотвращение повреждения, защита и восстановление компьютеров, систем и услуг электронной связи, включая содержащуюся в них информацию, для обеспечения ее доступности, целостности, аутентификации, конфиденциальности и неразглашения (National Institute of Standards and Technology Cybersecurity Framework (NIST CSF), Committee on National Security Systems (CNSS 4009).

В правовом поле РФ чаще используется термин «информационная безопасность» как более широкое понятие. В этом материале мы поставим знак «равно» между понятиями информационной и кибербезопасности предприятия, что, собственно, и делается в неформальном общении.

2. Цели, задачи, объекты защиты

Кибербезопасность инфраструктуры достигается комплексом взаимосвязанных организационных и технических мер, направленных на защиту информации, информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления технологическим процессом и других ИТ-систем и оборудования, использующихся для обработки и хранения этой информации.

Цели:

• состояние защищенности предприятия, обеспечивающее его устойчивое функционирование на уровне приемлемых рисков;
• обеспечение непрерывности бизнеса и киберустойчивости к компьютерным атакам;
• соблюдение регуляторных требований.

Задача — защита информации от неправомерного доступа, предотвращение утечки чувствительной информации.

Объекты защиты:

• ИТ-инфраструктура и каналы связи (ИТКС);
• информационные системы и ресурсы;
• рабочие места пользователей, мобильные устройства;
• информация (коммерческая тайна, ноу-хау, персональные данные и т.д.) и носители, включая мобильные/съемные;
• персонал, в том числе администраторы ИТ и ИБ;
• топ-менеджмент компании как отдельный информационный актив и объект атаки;
• автоматизированные системы управления производством, технологическими процессами, системы измерений и контроля.

3. С чего начать

Как ни странно, уровень кибербезопасности компании зависит не только, а точнее, не столько от количества внедренных технических средств. Даже имея на периметре ИТ-инфраструктуры предприятия передовой межсетевой экран с красивой аббревиатурой NGFW или другие передовые разработки кибербезопасности, не стоит спать спокойно. При этом речь даже не о настройках «по умолчанию».

Пример 1. Неприметный работник отдела закупок получает вредоносное электронное письмо, в котором указано, что компания включена в перечень потенциальных участников закупки серьезного игрока на рынке и для регистрации необходимо перейти по ссылке. Далее работник кликает по ней — и сначала шифруется АРМ/ноутбук работника, затем, если у него есть административные права в информационной системе закупок, шифруются данные всей системы закупок, а потом, возможно, и вся инфраструктура предприятия. Результат — остановка бизнеса на несколько дней или недель, простои производства и оборудования, нарушение бизнес-процессов, упущенная выгода, незаключенные контракты, имиджевые риски, а также возможные регуляторные последствия для предприятия.

Пример 2. У компании А (заказчик) есть многолетние договорные отношения с компанией В (подрядчик, поставщик). Заказчик использует в работе разработанное компанией В программное обеспечение, либо компания В оказывает услуги по поддержке инфраструктуры компании А. Для оказания услуг специалисты компании В имеют доступ к инфраструктуре компании А.  Защита инфраструктуры поставщика услуг, в том числе конвейеры разработки ПО и внутренние процессы кибербезопасности, естественно, зона ответственности компании В.

Предположим, компанию B взломали. Бизнес подрядчика — оказывать услуги, защита его инфраструктуры осуществляется по остаточному и минимальному принципу. Итак, «ломают» компанию В, а следом за ней и компанию А с передовыми средствами защиты. Последствия для компании А плюс-минус те же, что указанные в примере выше. И передовые средства защиты не сильно ей помогли.

Кстати, приведенные примеры соответствуют первым пяти позициям трендовых угроз 2023-2024 гг. — вредоносное ПО (включая вирусы-вымогатели и шифровальщики) и атака на цепочку поставщиков (supple chain). Можно привести и другие примеры хакерских атак на компании.

Кибербезопасность информационных систем сегодня — это основа стабильной и бесперебойной работы бизнеса, будь то крупная корпорация или небольшая компания. В России по кибербезопасности есть множество технологических наработок. Но, как мы видим, ИБ предприятия — это не только технические и программные средства защиты, а также организация и процессный подход, встраивание кибербезопасности во все процессы и процедуры компании на всех этапах жизненного цикла, вовлеченность всех работников в ее обеспечение и разграничение зон ответственности.

«Кто занимается кибербезопасностью и конфиденциальностью на вашем предприятии? Если ответ «Все», вы на правильном пути. От зала заседаний до комнаты отдыха кибербезопасность и конфиденциальность теперь являются делом каждого, потому что цифровизация означает, что каждый аспект деятельности каждой организации теперь находится под угрозой. Мы действительно все в этом вместе», — писал Шон Джойс, руководитель консультативной практики PwC.

4. Система управления ИБ

Как выстроить процессы кибербезопасности в компании? Изначально надо понять, есть ли в ней карта процессов верхнего уровня. Например, основным производственным процессом может быть добыча угля или переработка мяса. Обеспечивающие процессы — это HR, бухгалтерия и пр. Среди них должны быть процессы ИТ и кибербезопасности. Причем для ИТ- и ИБ-компаний они будут основным производственным процессом. Также необходимо определить, кто отвечает за процессы ИТ и кибербезопасности.

Затем детализируем обеспечение ИБ на подпроцессы. Например, управление доступом, защита инфраструктуры (ее также можно разбить на межсетевое экранирование, сегментирование, доступ в Интернет, антивирусная и антиспам- защита и пр.), мониторинг и контроль, управление инцидентами, контроль утечек, управление обновлениями и т.д. У каждого подпроцесса должен быть ответственный.

Одновременно организовывается разграничение ответственности за кибербезопасность предприятия на различных уровнях:

• руководитель предприятия, топ-менеджмент;
• директор ИТ, директор ИБ, директор по безопасности;
• руководители структурных подразделений;
• работники предприятия;
• поставщики услуг и т.д.

Далее определяем цели и задачи в области кибербезопасности, объекты защиты и возможные риски, разрабатываем стратегию кибербезопасности в горизонте нескольких лет и дорожную карту ее реализации, а также планы обеспечения непрерывности бизнеса и восстановления после аварий. Таким образом и выстраиваем систему управления ИБ.

Можно сказать, что кибербезопасность — это искусство достижения состояния защищенности ИТ-инфраструктуры, компьютерной техники, мобильных устройств, а также данных от несанкционированного доступа и обеспечение конфиденциальности, целостности и доступности информации.