Все, кто занимается безопасностью в любом ее проявлении, рано или поздно сталкиваются с вопросом о способности обеспечить 100%-ную безопасность в компании. Чаще всего его задает кто-то из руководства, нередко прилюдно, ожидая четкого и однозначного ответа. Если ответить отрицательно, то потребности профильного подразделения могут сразу потерять актуальность на многие годы. Зачем давать деньги тем, кто не может обеспечить безопасность 24/7? Если же ответить утвердительно, то после уточнения, какой бюджет для этого необходим, небольшого секвестирования, процедуры согласования и реализации нужно нести персональную ответственность за все возможные инциденты. Куда ни кинь – всюду клин…
Предотвращение инцидентов – комплексная задача, имеющая более низкий КПД. Здесь нет универсальных рецептов, так как основной источник проблем – люди, а, как известно, человеческая душа – потемки, по крайней мере, пока службы безопасности не станут массово брать на работу телепатов.
Как предотвратить реализацию инцидента и приблизиться к заветным цифрам обеспечения безопасности 24/7? Для этого необходимо определиться с ключевыми элементами данной цепочки.
Те из нас, кто работает в компаниях, выделяющих значительные суммы на безопасность, могут попробовать защитить все активы. Остальным же в первую очередь нужно провести инвентаризацию объектов защиты. Каждый телефон и компьютер учитывать необязательно, важно хотя бы выделить секторы.
После проведения инвентаризации следует провести ранжирование объектов защиты. Самый наглядный, но трудоемкий способ – по финансовому ущербу. Например, если у компании украдут список клиентов, то ущерб составит 100 млн рублей, а если колесо со склада – то 20 тыс. рублей. В качестве альтернативы можно использовать любые критерии: влияние на бизнес-процессы, величину простоя в днях, восполнимость актива, частоту использования и многое другое.
После ранжирования необходимо сделать отсечку, какие активы защищать всеми силами, а какие – "как получится". Например, все, что дороже 1 млн рублей, должно быть защищено.
Здесь и далее мы будем ставить знак равенства между угрозой и риском.
Классическое определение гласит: риск (от лат. resecō – "отсекать", "сокращать" или др. -греч. ῥιζικόν – "опасность) это сочетание вероятности и последствий наступления неблагоприятных событий. А его формулу записывают так: величина риска = вероятность события х размер ущерба.
Таким образом, под угрозой мы понимаем вероятностные действия, причиняющие ущерб объектам защиты.
Зная активы, можно составить карту угроз для каждого из них (табл. 1).
На данном этапе не требуется составлять подробную карту угроз. Достаточно понимать основные методы воздействия на актив.
Таблица 1. Пример карты угроз для активов
Угрозы можно разделить на два больших класса:
С неантропогенными угрозами все более или менее понятно: сюда относятся стихийные бедствия, техногенные аварии, случайности. С антропогенными все несколько сложнее, так как в них появляется переменная величина – злоумышленник. Существует большая и развернутая теория классификации злоумышленников, их типов и видов. Для нашей цели достаточно понимать мотивы злоумышленника:
К первой категории относятся 95% потенциальных нарушений. Мир преступлений (а особенно киберпреступлений) прагматичен: если из определенного действия нельзя извлечь материальную выгоду, то найдется очень мало желающих этим заниматься.
Ко второй категории относятся все случаи слежки, например, чтобы добиться внимания женщины или отомстить обидчику. "Вершиной" мотивов является доминирование, когда те или иные действия совершаются "просто потому, что я могу", например, обесточивание целого здания.
Таблица 2. Пример карты угроз для активов с возможными нарушителями и размером ущерба
Определившись с нарушителями, мы можем дополнить карту угроз (табл. 2). Таким образом, мы точно знаем цепочку событий от угрозы до инцидента (см. рис.). Теперь давайте разберемся с тем, как ее прервать.
В цепочке ключевым является последний пункт – ущерб. То есть инциденты, приводящие к финансовым потерям, должны обнаруживаться и предотвращаться. Обнаруживаться также должны все неудачные попытки причинить ущерб, а именно свершенные угрозы, которые не нанесли ущерба по каким-либо причинам.
Для обнаружения инцидентов необходимо выполнить ряд шагов:
Получив необходимые рычаги, можно перейти к выстраиванию системы обнаружения инцидентов. Главный принцип обнаружения инцидентов – выявление отклонений от нормального состояния актива. Для этого могут использоваться различные методы и их комбинации:
К мотивации "финансовый интерес" можно отнести 95% потенциальных нарушений. Мир преступлений, а особенно киберпреступлений, прагматичен: если из определенного действия нельзя извлечь материальную выгоду, то найдется очень мало желающих этим заниматься.
Когда процессы обнаружения более или менее выстроены, перед службой безопасности часто встает задача предотвращать инциденты на ранней стадии, а не разбираться с их последствиями, то есть "бить по хвостам".
Предотвращение инцидентов – комплексная задача, имеющая более низкий КПД. Здесь нет универсальных рецептов, так как основной источник проблем – люди, а, как известно, человеческая душа – потемки, по крайней мере, пока службы безопасности не станут массово брать на работу телепатов. Здесь можно расставить лишь ориентиры для последующих действий:
Говоря об инцидентах, нельзя обойти вниманием вопрос об их расследовании.
Расследование можно разделить на:
Разница между ними в последствиях: при внутреннем расследовании максимум, чего можно добиться, – увольнения нарушителя и иногда возмещения вреда.
Если руководство ставит задачу максимального наказания нарушителей, вплоть до привлечения к уголовной ответственности, то весь процесс обнаружения инцидентов должен быть выстроен с учетом этой особенности. Оперативно-розыскные мероприятия очень чувствительны к обстоятельствам обнаружения инцидента, сбору доказательств и свидетельских показаний. Особенно это касается инцидентов в информационных системах. Если перед вами стоит задача максимального наказания нарушителей, лучше сразу обратиться в специализированную организацию.
Таким образом, к работе по обнаружению и предотвращению инцидентов следует подходить комплексно. Чем основательнее будут проведены первые этапы инвентаризации и категорирования активов и угроз, тем проще будет подобрать эффективный набор мер даже в условиях ограниченного бюджета.
Опубликовано в журнале "Системы безопасности" №2/2021