Как прервать цепочку событий от угрозы до происшествия и обеспечить безопасность 24/7

Все, кто занимается безопасностью в любом ее проявлении, рано или поздно сталкиваются с вопросом о способности обеспечить 100%-ную безопасность в компании. Чаще всего его задает кто-то из руководства, нередко прилюдно, ожидая четкого и однозначного ответа. Если ответить отрицательно, то потребности профильного подразделения могут сразу потерять актуальность на многие годы. Зачем давать деньги тем, кто не может обеспечить безопасность 24/7? Если же ответить утвердительно, то после уточнения, какой бюджет для этого необходим, небольшого секвестирования, процедуры согласования и реализации нужно нести персональную ответственность за все возможные инциденты. Куда ни кинь – всюду клин…

Предотвращение инцидентов – комплексная задача, имеющая более низкий КПД. Здесь нет универсальных рецептов, так как основной источник проблем – люди, а, как известно, человеческая душа – потемки, по крайней мере, пока службы безопасности не станут массово брать на работу телепатов.

Как предотвратить реализацию инцидента и приблизиться к заветным цифрам обеспечения безопасности 24/7? Для этого необходимо определиться с ключевыми элементами данной цепочки.

Активы

Те из нас, кто работает в компаниях, выделяющих значительные суммы на безопасность, могут попробовать защитить все активы. Остальным же в первую очередь нужно провести инвентаризацию объектов защиты. Каждый телефон и компьютер учитывать необязательно, важно хотя бы выделить секторы.

После проведения инвентаризации следует провести ранжирование объектов защиты. Самый наглядный, но трудоемкий способ – по финансовому ущербу. Например, если у компании украдут список клиентов, то ущерб составит 100 млн рублей, а если колесо со склада – то 20 тыс. рублей. В качестве альтернативы можно использовать любые критерии: влияние на бизнес-процессы, величину простоя в днях, восполнимость актива, частоту использования и многое другое.

После ранжирования необходимо сделать отсечку, какие активы защищать всеми силами, а какие – "как получится". Например, все, что дороже 1 млн рублей, должно быть защищено.

Угрозы

Здесь и далее мы будем ставить знак равенства между угрозой и риском.
Классическое определение гласит: риск (от лат. resecō – "отсекать", "сокращать" или др. -греч. ῥιζικόν – "опасность) это сочетание вероятности и последствий наступления неблагоприятных событий. А его формулу записывают так: величина риска = вероятность события х размер ущерба.

Таким образом, под угрозой мы понимаем вероятностные действия, причиняющие ущерб объектам защиты.

Зная активы, можно составить карту угроз для каждого из них (табл. 1).
На данном этапе не требуется составлять подробную карту угроз. Достаточно понимать основные методы воздействия на актив.

Таблица 1. Пример карты угроз для активов

Угрозы можно разделить на два больших класса:

1. антропогенные (реализуемые человеком);
2. неантропогенные (реализуемые без участия человека).

С неантропогенными угрозами все более или менее понятно: сюда относятся стихийные бедствия, техногенные аварии, случайности. С антропогенными все несколько сложнее, так как в них появляется переменная величина – злоумышленник. Существует большая и развернутая теория классификации злоумышленников, их типов и видов. Для нашей цели достаточно понимать мотивы злоумышленника:

• финансовый интерес;
• межличностные интересы;
• доминантность.

К первой категории относятся 95% потенциальных нарушений. Мир преступлений (а особенно киберпреступлений) прагматичен: если из определенного действия нельзя извлечь материальную выгоду, то найдется очень мало желающих этим заниматься.

Ко второй категории относятся все случаи слежки, например, чтобы добиться внимания женщины или отомстить обидчику. "Вершиной" мотивов является доминирование, когда те или иные действия совершаются "просто потому, что я могу", например, обесточивание целого здания.

Таблица 2. Пример карты угроз для активов с возможными нарушителями и размером ущерба

Определившись с нарушителями, мы можем дополнить карту угроз (табл. 2). Таким образом, мы точно знаем цепочку событий от угрозы до инцидента (см. рис.). Теперь давайте разберемся с тем, как ее прервать.

Рис. Цепочка событий от угрозы до ущерба

Обнаружение

В цепочке ключевым является последний пункт – ущерб. То есть инциденты, приводящие к финансовым потерям, должны обнаруживаться и предотвращаться. Обнаруживаться также должны все неудачные попытки причинить ущерб, а именно свершенные угрозы, которые не нанесли ущерба по каким-либо причинам.

Для обнаружения инцидентов необходимо выполнить ряд шагов:

1. Заручиться поддержкой высшего руководства.
   Без осознания возможных потерь от ущерба и требуемых мер все дальнейшие действия будут являться полумерами или полностью провалятся.
   При общении с топ-менеджментом выгоднее всего опираться на финансовые показали¹.
2. Понимать, знать и закрепить нормальное (обычное) состояние актива. Если колеса должны лежать на складе, то в секции Е-21. Если база клиентов располагается в общей информационной сети, то доступ к ней должны иметь отдел продаж, бухгалтерия, ИТ-администраторы и безопасники.
3. Принять меры физической защиты актива.
   Меры физической защиты должны зависеть от ценности актива и угроз. Колеса можно положить в секцию Е-21 под замок, выдавать ключ под роспись и поставить видеонаблюдение.
4. Принять организационные меры по защите актива. Должны быть приняты внутренние правила и регламенты по использованию актива, предоставлению доступа, списанию и уничтожению и другим применимым действиям.
5. Создать или дополнить штат службы безопасности необходимыми специалистами. Какие бы средства автоматизации вы ни применяли, при недоборе в штатном расписании вы физически не сможете вовремя реагировать на инциденты.

Получив необходимые рычаги, можно перейти к выстраиванию системы обнаружения инцидентов. Главный принцип обнаружения инцидентов – выявление отклонений от нормального состояния актива. Для этого могут использоваться различные методы и их комбинации:

1. Штатное очное наблюдение. Если ваши ресурсы позволяют поставить возле каждого ценного актива охранника с пистолетом, то необходимо этим воспользоваться. Или хотя бы разделить объект на контролируемые зоны и назначить ответственного за каждую из них.
2. Автоматизированные датчики контроля состояния актива и пространства вокруг него в зависимости от его природы. Например, при обеспечении безопасности особенно ценных материальных активов хорошо себя показывает связка датчиков движения с видеонаблюдением или СКУД. Для перемещаемых активов можно использовать RFID-метки, которые позволят не только быстро найти актив, но и следить за его перемещением.
3. Автоматизированные системы для наблюдения за контролируемыми зонами. Сюда относятся системы контроля пересечения периметра, видеонаблюдение, системы контроля доступа и т.д.
4. Для информационных систем необходимы системы мониторинга и контроля пользователей. Сюда относятся средства защиты от несанкционированного доступа, системы защиты от утечек информации (DLP-системы).
5. Для объединения всех используемых методов крайне желательно создать ситуационный центр безопасности, куда будут подключены все системы обнаружения и безопасности. Это позволит штатному составу службы безопасности работать с уже обработанной информацией, а не искать признаки инцидентов, тратя большое количество человеко-часов.

К мотивации "финансовый интерес" можно отнести 95% потенциальных нарушений. Мир преступлений, а особенно киберпреступлений, прагматичен: если из определенного действия нельзя извлечь материальную выгоду, то найдется очень мало желающих этим заниматься.

Предотвращение

Когда процессы обнаружения более или менее выстроены, перед службой безопасности часто встает задача предотвращать инциденты на ранней стадии, а не разбираться с их последствиями, то есть "бить по хвостам".

Предотвращение инцидентов – комплексная задача, имеющая более низкий КПД. Здесь нет универсальных рецептов, так как основной источник проблем – люди, а, как известно, человеческая душа – потемки, по крайней мере, пока службы безопасности не станут массово брать на работу телепатов. Здесь можно расставить лишь ориентиры для последующих действий:

1. Первое направление – это работа с сотрудниками. Сотрудники должны быть ознакомлены, желательно под подпись, с действующим режимом работы (что делать нельзя, какая ответственность за это наступает). Для подавляющего большинства людей страх наказания выше, чем сиюминутная прибыль. Там, где возможно, следует вводить материальную и коллективную ответственность, чтобы контроль и пресечение инцидентов осуществлялись коллективом.
2. Необходимо выявлять потенциально опасных сотрудников. Кто-то недоволен текущим положением, кто-то хочет уйти к конкурентам, кто-то слишком разговорчив в Интернете. Конечно, слишком сложно и дорого отслеживать каждого сотрудника, но для ключевых позиций это жизненно необходимо.
3. Важно создать комплексную скоринговую модель каждого бизнес-процесса, где участвуют ключевые активы, и занести ее в информационную систему ситуационного центра.
   В зависимости от приоритетов и оценок это позволит выявлять пограничные состояния перед инцидентом, когда он еще не реализовался, но вот-вот может.

Расследование

Говоря об инцидентах, нельзя обойти вниманием вопрос об их расследовании.
Расследование можно разделить на:

• внутреннее;
• с привлечением правоохранительных органов.

Разница между ними в последствиях: при внутреннем расследовании максимум, чего можно добиться, – увольнения нарушителя и иногда возмещения вреда.

Если руководство ставит задачу максимального наказания нарушителей, вплоть до привлечения к уголовной ответственности, то весь процесс обнаружения инцидентов должен быть выстроен с учетом этой особенности. Оперативно-розыскные мероприятия очень чувствительны к обстоятельствам обнаружения инцидента, сбору доказательств и свидетельских показаний. Особенно это касается инцидентов в информационных системах. Если перед вами стоит задача максимального наказания нарушителей, лучше сразу обратиться в специализированную организацию.

Главный вывод

Таким образом, к работе по обнаружению и предотвращению инцидентов следует подходить комплексно. Чем основательнее будут проведены первые этапы инвентаризации и категорирования активов и угроз, тем проще будет подобрать эффективный набор мер даже в условиях ограниченного бюджета.

Опубликовано в журнале "Системы безопасности" №2/2021