Киберустойчивость, киберживучесть, кибернадежность, кибернепрерывность...

Аватар пользователя alukatsk
Автор: Лукацкий Алексей,
(3)
()
В 90-х, когда я работал админом в одном крупном ритейловом холдинге, эпидемией считалось распространение OneHalf или DIR в течение нескольких недель по всему зданию нашего офиса. И ты носился по кабинетам с пачкой трехдюймовых дискет, вылечивая пострадавшие компьютеры пользователей, которые просто обменивались игрушками на зараженных дискетах.

Шли годы, эпидемии становились быстрее и масштабнее; менялись и технологии защиты. И мы совершенно незаметно... привыкли к кибератакам, о которых ежедневно трубят СМИ. Вспомните, что было совсем недавно. Взлом Equifax и утечка данных по 140 миллионам клиентам. Взлом WPA2 и крики "ужас, ужас". Утечки данных из консалтинговых агентств "Большой четверки". Утечка из АНБ (вот уж спецслужба, держащая в страхе весь мир, превратилась в проходной двор для русских хакеров, которых никто не видел). Утечка 3 миллиардов (!) учетных записей из Yahoo. Ботнет Mirai с пропускной способностью свыше терабита в секунду. Очередной zeroday в Windows. Очередное расследование про APT. И что? А ничего. Мы свыклись с тем, что ежедневно происходит вокруг нас в мире ИБ. Атаки и уязвимости превратились в обыденность. Как ДТП, которые происходят десятками тысяч на дорогах только в России.

Возможно я не прав, но лично у меня никаких эмоций такие новости уже не вызывают. Ну взломали... Ну нашли дыру... Ну утекла база... Все это превратилось в обыденность. Значит ли, что с ней не надо ничего делать? Конечно же нет. Просто мы плавно, сами того не замечая, подошли к эпохе киберустойчивости. Я больше года назад кратко прошелся по этой теме и решил вновь вернуться к ней. И дело тут не в том, что ЦБ пишет ГОСТ по киберустойчивости. Просто сегодня мы уже не в состоянии строить информационные системы иначе. Это раньше мы пытались выстроить стену вокруг объекта защиты с помощью кучи разных технологий и решений - МСЭ, NAC, VPN, управление уязвимостями, патчинг и т.п. Но все это бесполезно - 100%-й безопасности (а многие почему-то стремятся к этому числу) достигнуть нельзя. Мы все слышали про эту аксиому (про отсутствие 100%-й безопасности), но с упорством маньяков пытается ее добиться, тратя на нее десятки и сотни миллионов рублей корпоративного или государственного бюджета. А потом нас ломают и мы стоит оплеванные перед руководством, которое с немым укором смотрит на нас и его глаза нам говорят "ну как же так-то?". А нам нечего ему противопоставить, так как мы сами обещали защитить компанию, забыв упомянув про невозможность достижения идеального результата. Более того, сам-то безопасник хоть и пытается бороться с киберугрозой и полностью ее нейтрализовать (особенно в госах, где по другому просто никак), но в душе он уже смирился, что его в любой момент могут взломать. Кстати, именно поэтому сейчас рынок переходит к модели Detection & Response (обнаружение & реагирование) и популярными становятся продукты типа EDR или аналогичные сервисы (MDR). Производители уже тоже не могут гарантировать (хотя когда они гарантировали) нейтрализации и предотвращения атак.

А вот киберустойчивость и говорит нам о том, что атак избежать нельзя, но можно с ними жить. Ведь киберустойчивость - это и есть свойство информационной системы, позволяющей ей существовать в условиях непрерывных или постоянных атак. Этот термин, который мы опять стащили у иностранцев (cyber resilience), очень похож на более привычный русскому языку термин "живучесть", который существует не только в военном лексиконе, но и в гражданском. Живучесть есть не только у судов (а именно эта ассоциация первой приходит на ум), но и у любого технического устройства. Именно этот термин подсказывает нам, что для обеспечения поставленной перед системой задач (Интернет-магазин, госуслуги, перевод денежных средств, непрерывность технологического процесса и т.п.) нам не надо пытаться защитить все - достаточно сконцентрироваться на жизненно важных для функции компонентах, обеспечивая их резервирование, дублирование, квалификация персонала, SDLC и другие задачи, которые, применительно к информационным системам, можно подчерпнуть из теории надежности.


Важно, что сейчас нет лучших практик в этой сфере (кроме, может быть, австралийцев, и то там не все публично) и не стоит их искать и на них ориентироваться. В прошлом году я уже приводил несколько примеров документов, посвященных киберустойчивости. Они все разные. И с тех пор появились новые и тоже разные. Например, Gartner в своих материалах регулярно подменяет понятия устойчивости и непрерывности бизнеса (что отчасти и неплохо). В ISO 22316 2017-го года "Security and Resilience - Organizational Resilience - Principles and Attributes" говорится тема BCM звучит не столь явно. По ISO устойчивость - это способность организации адаптироваться к изменяющемуся окружению и включает она множество совершенно различных дисциплин.

А, например, IBM (после покупки Resilient) стал использовать следующее определение: "киберустойчивость - это выравнивание возможностей по предотвращению, обнаружению и реагированию для управления, смягчения и ухода от кибератак". И это я еще не приводил определения IOSCO, SWIFT и ряда других финансовых структур, которые активно драйвят сейчас тему киберустойчивости (наш ЦБ не исключение). Важнее определения другое - поменять отношение к атакам и признаться самому себе (да и руководство к этому готовить, чтобы не было сюрпризов), что защититься от всех атак нельзя. И предотвратить их нельзя. И компрометация компании возможна. Как мне кажется, это уже половина успеха. От этого и строить свою стратегию обеспечения киберустойчивости.

4R киберустойчивости

Что она может в себя включать? Я бы выделил несколько элементов:

  • вовлечение руководства и правильные коммуникации с ним (полезно почитать рекомендации Международного экономического форума, которые указаны внизу заметки)
  • программа управления инцидентами
  • программа обеспечения непрерывности бизнеса
  • программа повышения квалификации и найма квалифицированного персонала по ИБ
  • непрерывный мониторинг ИБ (включая и третьи стороны - партнеров, контрагентов, поставщиков и т.п.)
  • программа оценки эффективности ИБ
  • страхование рисков (если вы верите в эту тему в России).
В принципе, многие из упомянутых пунктов и так реализуются многими компаниями. Вопрос только в системности такой реализации. Очевидно, что целиком и сразу перейти к киберустойчивости нельзя сложно - нужен поэтапный план с соответствующими метриками и оценкой их достижения. Например, Deloitte рисует такую картину поэтапного достижения нужного уровня киберустойчивости:




Есть и те, кто уже реализовал у себя такую программу. Например, финансовая группа KBC, которая оценивает свой уровень зрелости киберустойчивости и делает это не только для всей компании целиком, но и для отдельных подразделений. Тем самым достигается некоторая конкуренция между ними и они стремятся обойти своих коллег, достигая лучших показателей.


Красные зоны на радарной диаграмме показывают, что KBC еще есть куда стремиться.


В качестве заключения упомяну еще парочку интересных документов по киберустойчивости:

В любом случае помните, что абсолютно живучих систем не бывает.


ЗЫ. И все-таки, чтобы не считать, что нет пророков в своем отечестве, рекомендую покопать тему надежности информационных систем. Например, Липатовскую прикладную теорию надежности автоматизированных систем (он про нее много книг написал и провел лекций).
Оцените материал:
Total votes: 92
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя riskmn

Алексей, много противоречивого, однако, по порядку (это мое частное мнение):

1. абзац 3 - 100% не достичь:-))) Достичь, но только не в тех подходах, которые культивируются сейчас. Думаю, что ты согласишься, что бесперспективно оптимизировать бизнес процессы рыболовных судов, пытающихся ловит рыбу в Сазаре или в Гималаях. Невозможно достичь Безопасности занимаясь при этом чем угодно, кроме нее. Можем потом обсудить - тема огромная))) Но все зависит от квалификации обеспечивающих - можно обеспечить и на большие временные периоды (десятилетиями). понятно, что зависит от "опасность= ресурсы"........

2. абзац про киберустойчивость (КУ) и ИБ - ЭТО тупо разные категории. КУ - вотчина ИТ, а ИБ - поляна копроративной Безопасности. Пока это не дойдет до умов - каша будет продолжатья.

3. абзац ЗЫ про надежность ИС - это вообще не ИБ, но направление верное (каждый должен делать свое дело, а если не знаешь чем заняться, то не стиоит тянуть к себе все что угодно (не свое), лишь бы начислили жалование).

up
2 users have voted.
Аватар пользователя alukatsk

Так поляна ИБ сейчас активно расширяется и поглощает соседние темы. Хотя на том же загнивающем Западе активно продвигается тема CIRO (Chief Information Risk Officer), который занимается и классической ИБ и непрерывностью и устойчивостью и др.

up
2 users have voted.
Аватар пользователя riskmn

Алексей, так это от безисходности. Все, что сейчас подтянули под Иб уже "вычерпали"!!! Собрали по верхам "что  можно прихватить", и зашли в тупик - а как при этом кормить армию сотрудников. А главные месторождения по безопасности в других плоскостяз!!! Их видеть надо.

RM - это не ИБ!!! В них все разное: и объекты и силы и средства, и навыки и знания и методы и квалификацией спецов. Они смежники - те, кто полтьзуется работами другого. На такое объединение идут от бессилия, потому, что не погнимают "классику" безопасности...............

Это тупик - очередной............

up
2 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.