Автор книги: Джек Домет
Жанр: Управление и подбор персонала, Бизнес-Книги
Возрастные ограничения: +16
сообщить о неприемлемом содержимом
Текущая страница: 2 (всего у книги 10 страниц) [доступный отрывок для чтения: 3 страниц]
Более того, IT-отдел и команда кибербезопасности приведут вам немало аргументов против «белых списков». Внутри корпоративной среды проще установить антивирусное ПО и управлять им в автоматическом режиме. Никто не обвинит IT-специалистов в том, что оно не работает, – оно же есть! Развертывание приложений на основе «белого списка» потребует куда больше усилий и внимания. Придется постоянно пополнять перечень свежими авторизованными бизнес-приложениями, а также вносить туда обновления установленных программ и приложений, иначе коллеги не смогут использовать необходимое ПО или компьютеры вообще. В этом обвинят именно IT-специалистов – и заставят лихорадочно устранять возникшую проблему.
Главные камни преткновения здесь – ответственность за создание безопасной цифровой среды и вопрос, кто ее несет. На сегодняшний день компании возлагают ответственность на сотрудников, не имеющих никакой возможности защитить себя и других, а также на технологии, подтвердившие свою неэффективность. Глубинные причины такого подхода связаны с мотивацией и ответственностью персонала, вернее с их отсутствием. Мантра «Это все человеческий фактор» – лишь удобное прикрытие.
Спасайте бриллианты короны!
Чаще всего мы слышим о кражах личных данных (например, финансовой и медицинской информации, паспортных данных, кредитных карт и паролей) в результате взлома корпоративных и государственных систем. Чуть реже «утекают» коммерческие тайны, интеллектуальная собственность, планы стратегического развития и внутренняя финансовая документация. Если учесть, что не все цифровые активы одинаково ценны, имеет смысл сосредоточиться на защите важнейших, тех самых «бриллиантов короны». Но есть проблема: зачастую следование этому принципу приводит к действиям, не только неэффективным для снижения киберрисков, но и попросту неприемлемым.
Пытаясь уберечь «бриллианты короны», мы невольно воспринимаем конфиденциальность информации как безоговорочный приоритет. Иными словами, нам кажется, что лучше замедлить или затруднить работу с данными, если такой ценой они не попадут в чужие руки. Однако некоторым видам бизнеса подобный подход серьезно навредит.
Если вы разрабатываете многопользовательские онлайн-игры, приоритетами вашей компании станут пропускная способность сети и мощность серверов, ведь вы хотите сделать игры доступными для сотен тысяч пользователей, в любой момент. Иначе вы быстро потеряете бизнес.
Если ваша компания использует промышленные системы контроля для управления, например, нефтепереработкой, производством нефтехимии или электроэнергии, для вас приоритетна скорость коммуникаций. Такие системы объединяют множество отдельных компьютеров, зачастую довольно старых и очень чувствительных к задержкам в передаче информации по сети. Если один компьютер не получит сообщение от другого в определенный момент, в его работе может произойти сбой. Далее последует эффект домино, что приведет к нарушениям производственного процесса или его полной остановке.
Скорость критична и для работы медицинских учреждений. Хотя в сфере здравоохранения защита конфиденциальных сведений важна, в чрезвычайной ситуации приоритеты существенно меняются. Если пациент находится в отделении неотложной помощи или на операционном столе, врачи хотят получить как можно больше информации из его истории болезни и как можно быстрее. От этого зависит его жизнь. Если в цейтноте операции кто-то посторонний также получает к этой информации доступ, с инцидентом можно будет разобраться потом, когда пациент пойдет на поправку.
Эти примеры доказывают: далеко не все киберриски имеют отношение к конфиденциальности; фокус на ней отвлекает от не менее важных проблем. Он также ничего не гарантирует, потому что часто защита «бриллиантов короны» ограничивается их непосредственным хранилищем. Вот почему после утечки задается стандартный вопрос: «Была ли информация зашифрована?» Обычно это касается первичной базы данных. Но чтобы информация стала ценностью, ее необходимо еще извлечь, распространить и использовать. Уровень риска на этих этапах намного выше. Поэтому, чтобы определить приоритетность задач IT-специалистов и оптимизировать защиту, компания должна сосредоточиться на отладке наиболее важных для нее бизнес-процессов. Решив эту задачу, вы обеспечите и надлежащий уровень конфиденциальности данных.
Рассмотрим в качестве примера бизнес-процессы, связанные с работой клиентского отдела: создание новой учетной записи, ее использование и удаление из базы. Для всего этого требуется доступ к конфиденциальным персональным и финансовым данным (почтовый адрес и ID-карта, номер кредитной карты и банковского счета) клиента. Проследив перечисленные механизмы, ваша компания будет знать, на каких компьютерах хранится та или иная информация, через какие сети проходит и кто имеет к ней доступ. Вы сможете не только эффективнее защитить конфиденциальные данные клиента, но и снизить непредвиденные риски, подрывающие его доверие к вам.
Фокус на ключевых бизнес-процессах позволяет также выявить информацию, ценность которой критична – однако раньше вы этого не осознавали. Здесь хорошим примером послужит низкотехнологичный бизнес вроде выращивания и продажи орехов в Калифорнийской долине. Миндаль, грецкие орехи и фисташки очень даже привлекательны для воров, ведь один грузовик таких сокровищ может стоить до $500 000! А еще орехи – это вам не IT-оборудование: у них нет серийных номеров, съел – и никаких доказательств.
Продвинутые воры уже отказались от захвата грузовиков на пустынных дорогах и подались в хакерство. Они начинают с того, что взламывают компьютеры «ореховых» компаний и крадут информацию о планируемых отгрузках. После этого аккуратно фальсифицируют документы и… посылают собственные грузовики на склад поставщика до того, как приедут реальные покупатели. В некоторых случаях воры нанимают водителей (те и не подозревают, что участвуют в преступлении!)[10]10
Geoffrey Mohan and Richard Winton, “In Sophisticated Shell Game, Thieves Hit Central Valley Nut Growers,” Los Angeles Times, April 14, 2016, https://www.latimes.com/business/la-fi-nut-theft-20160414-story.html.
[Закрыть].
Идея «спасать бриллианты короны», так же как и другие банальные сентенции о кибербезопасности, создает иллюзию, что мы разобрались в проблеме и знаем, как с ней справиться. А ведь это мешает посмотреть на нее шире и найти максимально эффективное решение.
Киберугрозы не стоят на месте!
Непрерывный рост количества киберугроз – или в некотором смысле иллюзия роста? – дезориентирует компании и толкает к двум типичным ошибкам. Во-первых, многие считают, что инвестиции в защиту должны соответствовать масштабам угроз и темпам их развития: если угроза стремительно нарастает, нужно скорее увеличить «защитные» вложения. Во-вторых, существует убеждение, что борьба с прежде неизвестными угрозами требует дополнительных вливаний. Поскольку эти соображения существенно влияют на принятие финансовых решений, рассмотрим их подробнее.
Скорость вращения Земли зависит от того, где вы стоите
Динамичное развитие киберугроз считается веским основанием для постоянных брифингов по кибербезопасности. Бесспорно, эта тема заслуживает внимания, но не из-за того, с какой скоростью плодятся вирусы и прочие угрозы, а по причине глобальности и важности проблемы в целом.
Оценивая темпы нарастания рисков, часто используют такой показатель, как объем новых вредоносных программ. Считается, что в 2017 году их насчитывалось от 15 107 232 до 128 160 000, и это только те, которые удалось обнаружить[11]11
“2017 in Figures: The Exponential Growth of Malware,” Panda Security Mediacenter, January 4, 2018, https://www.pandasecurity.com/mediacenter/malware/2017-figures/; Tara Seals, “360K New Malware Samples Hit the Scene Every Day,” Infosecurity, December 14, 2017, https://www.infosecurity-magazine.com/news/360k-new-malware-samples-every-day/.
[Закрыть]. Хотя это колоссальные цифры, они бессмысленны. Нет принципиальной разницы, как компании защищаются от миллиона, 10 миллионов или даже 100 миллионов угроз. Насущная задача – нейтрализовать любую из них.
Хорошо забытое старое
Термин «кибербезопасность» на слуху не так давно, вот почему угрозы, с которыми мы сталкиваемся, кажутся чем-то сравнительно новым. Однако история сферы насчитывает более 50 лет. Еще в 1960-е ВВС США озаботились риском, о котором и сегодня вовсю кричат газеты, – возможной атакой иностранного государства на важнейшие объекты инфраструктуры США. Под иностранным государством имелся в виду СССР, а под важнейшими объектами инфраструктуры – ядерный арсенал США. Риск заключался в использовании программ, способных вызвать сбой в работе компьютерных сетей. Звучит на удивление современно, правда? По словам полковника ВВС США в отставке Роджера Шелла, вредоносные программы, проникнув в компьютеры, контролировавшие запуск ядерных ракет наземного базирования, могли перенаправить их на американские города. Этого стоило опасаться[12]12
Private conversation, February 15, 2018. Additional detail on cybersecurity concerns during the 1960s can be found in Roger R. Schell, Oral History Interview with Roger R. Schell (Charles Babbage Institute, May 1, 2012), https://conservancy.umn.edu/handle/11299/133439.
[Закрыть].
Компьютерные сети 1960-х и близко не напоминали нынешние; интернет еще не захватил мир, поэтому неудивительно, что основным источником заражения являлись внешние носители и инструменты, при помощи которых программисты преобразовывали написанные коды в понятные для машин инструкции. Чтобы нивелировать риски, разработчики проводили специальные исследования в фоновом режиме, а все необходимое программное обеспечение создавали локально, на одной машине. Хотя механизмы разработки ПО с годами изменились (многое делается на аутсорсе), эксперты по кибербезопасности еще в 1960-х выявили риски, снова ставшие актуальными в наши дни.
Apple предлагает разработчикам приложений для iOS (прежде всего для iPhone и iPad) продукт под названием Xcode. Скачать его можно со специализированных сайтов для программистов. На одном таком сайте – Baidu Yunpan[13]13
Облачная платформа для хранения данных, обмена ими и их совместного использования, была запущена в марте 2012 года. Предназначалась как для простых пользователей, так и для разработчиков. В 2016 году Baidu Yun получила новое имя – Baidu Wangpan, под которым работает и сегодня. Прим. ред.
[Закрыть] – разместили вредоносную версию Xcode под названием XcodeGhost, в которую были добавлены инструкции без ведома разработчика[14]14
Joseph Cox, “Hack Brief: Malware Sneaks into the Chinese IOS App Store,” Wired, September 18, 2015, https://www.wired.com/2015/09/hack-brief-malware-sneaks-chinese-ios-app-store/.
[Закрыть]. Они встраивались в мобильные приложения, а затем похищали личные данные пользователей и пересылали на неизвестный сервер.
Специалисты ВВС США распознали этот тип кибератаки 50 лет назад. Отсюда можно сделать вывод: очень важно понимать, от кого и в чем мы зависим при отражении угроз. Компании интересуются этим вопросом гораздо реже, чем следовало бы, и пора исправить ситуацию.
Зимой 1970 года рабочая группа по информационной безопасности при Научном совете Министерства обороны США опубликовала доклад «Обеспечение безопасности компьютерных систем»[15]15
Willis H. Ware, “Security Controls for Computer Systems,” Rand Corporation (Rand Report), https://www.rand.org/pubs/reports/R609–1.html.
[Закрыть]. Он известен как «Доклад Уэра», поскольку его основным автором был Уиллис Уэр. Он перечисляет и описывает большинство уязвимостей и рисков, с которыми мы сталкиваемся по сей день. Мы обобщили информацию о них в таблице 1.
Таблица 1. Примеры уязвимостей
Наиболее серьезные уязвимости отнюдь не новы. Инновационные способы применения и сочетания цифровых технологий порождают новые проблемы, но все они – лишь потомки существовавших раньше.
Компьютеры теперь чрезвычайно разнообразны – начиная от привычных стационарников и ноутбуков, заканчивая умными часами и холодильниками. Они требуют обновленных подходов к защите, но в целом бреши кибербезопасности остаются прежними, как и угрозы. Конечно, они обрели новые черты, но суть осталась. Вспомним имейлы со ссылками, переход по которым приводил к установке вредоносных программ. Теперь уже достаточно открыть подозрительную СМС – и какой-нибудь шпион или воришка проникнет на ваш смартфон. Способы внедрения вредоносных программ эволюционировали. Сами программы тоже стали немного другими, например адаптировались для запуска на мобильных устройствах, но это все та же старая добрая кибератака. Напоминает магазин, заявляющий о сорока вариантах рубашек в продаже… а на деле продающий одну модель в четырех размерах и десяти расцветках.
Итак, мы показали, как банальные, заезженные суждения отвлекают внимание от действительно важных проблем. В следующей главе мы рассмотрим теневые факторы, от которых зависит кибербезопасность, и разберемся, где правда, а где предрассудки.
Глава 2. Теневые факторы
Чтобы обеспечить эффективную киберзащиту, важно не забывать о ряде нетехнических факторов, или скрытых движущих сил. Речь не о бесконечных кодах и контурах микросхем, понятных лишь программистам и инженерам. Напротив, мы поговорим о вещах предельно доступных. Просто до сих пор они не рассматривались в контексте кибербезопасности.
Сначала мы познакомимся с так называемой химерой соответствия: разберем внутренние ограничения стандартов кибербезопасности и основанных на них законодательных норм, оценим их роль в стратегии компании. Далее обсудим мотивацию сотрудников и те способы «блеснуть» на работе, которые создают дополнительные риски для компании. Затем мы рассмотрим экономику кибератак – финансовые стимулы развития этого рынка – и попытаемся ответить на вопрос: «Так ли важно, кто именно нас атаковал?» Наконец, мы проанализируем асимметричность атак и защиты – взаимосвязь между мощью удара и необходимого отпора. И, конечно же, порассуждаем о том, почему кибератака – совсем не то же самое, что сражение в традиционном понимании.
Химера соответствия
Занимаясь проблемами кибербезопасности, вы ставите во главу угла надежность защиты от атак. «Действительно ли наша компания в безопасности?», «Правильно ли мы действуем?», «Делаем ли мы достаточно?» – такие вопросы вы постоянно задаете.
Чтобы ответить на них правильно, киберриски стоит оценивать в условиях реальной бизнес-среды; об этом мы поговорим далее в книге. Но зачастую компании оценивают свое положение дел с опорой не на реальность, а на общие стандарты кибербезопасности. На этой основе они делают выводы о том, насколько надежна их защита и сколько средств в нее инвестировать. Безусловно, стандарты полезны. Но чтобы использовать их эффективно, следует понимать цели их разработки и внутренние ограничения. У попыток соответствовать требованиям множества стандартов и законодательных норм могут быть самые непредвиденные последствия.
Внутренние ограничения стандартов кибербезопасности
Соответствовать всему и ничему
Стандарты кибербезопасности предназначены для широкой аудитории; один из показателей их успешности – масштабы внедрения. Однако, пытаясь быть полезными всем, на практике эти стандарты не помогают ни одной отдельно взятой категории пользователей.
Концепция Национального института стандартов и технологий США по совершенствованию кибербезопасности критично важной инфраструктуры (или просто Концепция NIST) изначально разрабатывалась, чтобы снизить риск нанесения ущерба ключевым объектам инфраструктуры[16]16
Matthew P. Barrett, “Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1,” National Institute of Standards and Technology paper, April 16, 2018, https://www.nist.gov/publications/framework-improving-critical-infrastructure-cybersecurity-version-11.
[Закрыть]. Однако во введении утверждается, что концепцию может использовать любая организация, поэтому она активно внедряется в разных отраслях, вплоть до розничной торговли и гостиничного бизнеса. А ведь приоритеты кибербезопасности для атомной электростанции явно отличаются от приоритетов отеля или супермаркета. Никакой стандарт, независимо от того, насколько удачно он разработан, не подойдет всем.
Даже стандарт, разработанный представителями вашей отрасли, не гарантирует вам полезных и адекватных рекомендаций. Например, Американский химический совет опубликовал руководство по внедрению кодекса безопасности управленческих практик «Ответственная забота»[17]17
American Chemistry Council, “Implementation Guide for Responsible Care® Security Code of Management Practices: Site Security & Verification,” 2002, https://www.nj.gov/dep/enforcement/security/downloads/ACC%20Responsible%20Care%20Site%20Security%20Guidance.pdf.
[Закрыть]. Возможно, там и содержатся полезные советы по менеджменту в области кибербезопасности, зато нет ничего об уникальных проблемах, характерных для систем управления производством. Иными словами, руководство настолько обобщенное, что дает примерно одинаковые рекомендации и IT-системам фронт-офиса, и IT-системам химического производства, для которых его, собственно, и писали.
В качестве альтернативы некоторые компании разрабатывают собственные рекомендации. Это разумно, но важно, чтобы такие «внутренние стандарты» соответствовали условиям и темпам роста вашего бизнеса. Если вы приобретаете другие компании и создаете новые продукты, то подходы к кибербезопасности потребуется скорректировать.
Например, наш клиент из сферы финансовых услуг разработал стандарт кибербезопасности в тот период, когда вычислительные мощности десятков серверов располагались в его собственных дата-центрах. Система отлично работала долгое время. Однако условия рынка менялись, менялся спектр услуг и форма их предоставления. Стандарт неумолимо устаревал. Вопрос встал ребром после поглощения индийской компании, где транзакции проводились с помощью облачных технологий. Первая проблема заключалась в том, что существующий стандарт не содержал рекомендаций по защите от рисков в такой ситуации. Вторая – в том, что поглощенная компания работала не по требованиям стандарта и руководители вынуждены были тратить массу времени на урегулирование неизбежных претензий по результатам аудита.
Всегда на шаг назад
Стандарты никогда не идут в ногу со временем. Например, широко известный международный стандарт кибербезопасности ISO 27001 был опубликован в 2005 году[18]18
International Organization for Standardization, “ISO/IEC27000 Family-Information Management Systems,” https://www.iso.org/isoiec-27001-information-security.html.
[Закрыть], а впервые пересмотрен – лишь через восемь лет. В 2018 году компания North American Electric Reliability Corporation объявила о выпуске пятой версии стандарта защиты критично важной инфраструктуры (CIP). Он заменил ранее действовавший стандарт 1200, одобренный в далеком 2003 году. Прошло 15 лет![19]19
North American Electric Reliability Corporation, “1200-Cyber Security (Urgent Action),” https://www.nerc.com/pa/Stand/Pages/1200Cyber_Sec_Renewa.aspx.
[Закрыть]
Дело не в том, что стандарты не успевают за постоянно меняющимися угрозами. В главе 1 мы объяснили, почему значение этих изменений сильно преувеличено. Но стандартам просто не угнаться за развитием бизнеса. Изменения в процессах и в наборе предлагаемых услуг и продуктов приводят к появлению новых киберрисков.
Финансовые стимулы
Проверка соответствия компании стандарту кибербезопасности – показательный процесс. Ведь финансовые стимулы, влияющие одновременно на проверяющего и проверяемого, способны поставить результат и его значимость под вопрос.
Компании обычно платят внешним аудиторам, которые подтверждают соответствие их практик нормативным документам и отраслевым стандартам, а также выявляют потенциальные противоречия и «слепые зоны». Стандарт безопасности информации в индустрии платежных карт (PCI DSS) – прекрасный пример[20]20
Security Standards Council, “Securing the Future of Payments Together,” https://www.pcisecuritystandards.org/.
[Закрыть].
Вскоре после публикации PCI DSS в 2004 году мы стали проводить аудит в азиатском сегменте этой отрасли, привлекая самых квалифицированных специалистов. Первое, на что мы обратили внимание, – для многих компаний, хранящих или обрабатывающих информацию о платежных картах, ее защита – отнюдь не безусловный приоритет. Куда важнее им получать формальный отчет, подтверждающий, что они соответствуют необходимым требованиям кибербезопасности. Вдобавок они хотели получить такой отчет подешевле, без особых усилий. Даже работая с лидерами отрасли, мы сталкивались с тем, что стоимость аудита для них важнее качества. В результате мы вынуждены были прекратить сотрудничество. Невозможно нанять хороших экспертов за предлагаемые такими компаниями смешные деньги.
С другой стороны, компании и индивидуальные предприниматели, проводящие оценку соответствия, мотивированы повышением эффективности и максимизацией прибыли. Прежде всего это бизнес. Квалифицированному аудитору систем безопасности (QSA) проще работать с постоянными клиентами, тем более что такой аудит проходит ежегодно. Однако QSA вряд ли пригласят для проверки в ту же компанию в следующем году, если в этом он даст негативное заключение. Мы беседовали со многими аудиторами в области кибербезопасности, и зачастую они говорили, что их руководство неоднократно напоминало им об этих реалиях деловой практики.
Еще один фактор, влияющий на качество аудита в индустрии платежных карт, – затрачиваемое на него время. Количество проведенных аудитов непосредственно влияет на зарплату специалиста. Trustwave – одна из крупнейших компаний, занимающихся аудитом систем безопасности. Ее бывший сотрудник признавался: «Чем больше аудитов вы проводите в квартал, тем приятнее будет ваш бонус». Например, сотрудник с базовым окладом $100 000 в год может заработать премию от $30 000 до 50 000 за счет именно количества, а не качества аудитов[21]21
Jennifer Bjorhus, “Clean Reviews Preceded Target’s Data Breach, and Others,” Star Tribune, March 31, 2014, http://www.startribune.com/clean-reviewspreceded-target-s-data-breach-and-others/252963011/.
[Закрыть].
Защита информации о платежных картах, безусловно, важна, и аудиты соответствия стандартам безопасности – одна из форм этой защиты. Однако нетехнические факторы, в том числе финансовые, существенно снижают ее надежность. Например, Home Depot имел положительное заключение о соответствии стандартам, когда произошла утечка информации об операциях по кредитным картам 56 млн его покупателей[22]22
Julie Creswell and Nicole Perlroth, “Ex-Employees Say Home Depot Left Data Vulnerable,” New York Times, September 19, 2014, https://www.nytimes.com/2014/09/20/business/ex-employees-say-home-depot-left-data-vulnerable.html.
[Закрыть].
Стандарты vs защищенность
Быстрое распространение новых стандартов кибербезопасности принесло некоторые результаты: компании прилагают больше усилий к защите активов и клиентов. Однако есть и непредвиденные последствия. Из-за обилия нормативных актов и существенных затрат на выполнение их требований компании упускают из виду многие серьезные риски.
Тут есть несколько важных моментов. Во-первых, пример уже упоминавшейся компании Home Depot показывает, что соответствие стандартам и реальная защищенность – не одно и то же. Определить достаточность защиты от киберугроз гораздо сложнее, чем декларировать соответствие утвержденным нормативам.
Второй момент связан с тем, что люди по-разному реагируют на реальную сиюминутную боль и возможную боль в будущем. Выявленные нарушения стандартов обещают немедленные последствия: штрафы, санкции и прочие карательные меры. Корпоративные отделы внутреннего аудита существуют, как раз чтобы не допускать этого. С другой стороны, ни последствия потенциальной утечки информации, ни ее точные сроки не известны. Это лишь возможная боль в будущем; никто не отрицает ее опасности, но для многих она куда менее страшна, чем немедленные последствия несоблюдения стандартов. Таким образом, определение реальных требований кибербезопасности – меньший приоритет, чем соответствие нормам. Еще одно последствие такой позиции – создание иллюзий. Компании склонны верить, что соответствие стандартам защитит их от всех неприятностей, и пренебрегают другими профилактическими мероприятиями.
Мотивация сотрудников
Сотрудники мотивированы выполнять свою работу, причем выполнять хорошо. Стремление получить повышение, премию или пару добрых слов от руководителя, а также желание чувствовать себя полезным членом команды – факторы, подогревающие мотивацию. И они же – проблема.
Часто мотивация сотрудников не имеет ничего общего с соблюдением требований кибербезопасности (если, конечно, не рассматривать компании, работающие в этой отрасли). В большинстве своем люди не верят, что способны разобраться в ее тонкостях. Конечно, они не хотят, чтобы их бизнес страдал от утечек информации, и не собираются этому способствовать. Но при определенных обстоятельствах, связанных с системой вознаграждения, любой сотрудник вполне может поставить кибербезопасность своей фирмы под угрозу.
Сделать свою работу
Пример такого рода можно найти в практике одной известной автомобилестроительной компании из Азии. Она потеряла $1 млрд в результате утечки данных о новейших исследованиях и разработках из корпоративной сети. Компания предпочла не сообщать об этом.
Впоследствии топ-менеджеры поручили специалистам по кибербезопасности усовершенствовать защиту информации о разработках. Специалисты предложили создать еще одну сеть для хранения таких данных – внутри корпоративной интрасети. Аргументация «за» сводилась к тому, что хакерам придется взламывать две сети вместо одной, чтобы добраться до конфиденциальной информации. Это чем-то напоминает систему обороны средневекового замка, в которой имелись вал и ров.
К сожалению, специалисты не учли один подводный камень: конструкторы автомобилей работали в тесном контакте с внешними партнерами, которые тоже нуждались в доступе к данным. Изоляция корпоративной сети обернулась тем, что эти два звена больше не могли обмениваться информацией. Как результат, конструкторы лишились возможности продуктивно работать. И что же они предприняли? Создали фейковые аккаунты для своих партнеров, чтобы те могли пользоваться корпоративной интрасетью. И никому не сообщили об этом.
Впоследствии мы спросили, понимают ли конструкторы, что их действия повысили риск утечки конфиденциальной информации. Они понимали, но нисколько не раскаивались. Поскольку их работа заключается в проектировании автомобилей, они без колебаний устранили препятствие, мешавшее двигаться вперед. Все, что их интересовало, – необходимость срочно закончить работу и очевидность возможных последствий (срыв дедлайна). Ну а возросшие киберриски – это что-то неопределенное. Внешние партнеры могут злоупотреблять, а могут и не злоупотреблять доступом к данным. И даже если они это сделают, последствия скажутся когда-нибудь потом, завтра, в следующем месяце или даже году. А может, никто об этом и не узнает.
Дестимуляторы кибербезопасности
Финансовые стимулы могут усилить потенциальный конфликт между человеком, нацеленным выполнить свою работу, и компанией, стремящейся защитить себя. Эти стимулы обычно привязаны либо к реализации индивидуальных целей сотрудников, например повышению личной эффективности, либо к реализации целей подразделения (к примеру, выполнение или перевыполнение квартального плана).
Возьмем в качестве примера выпуск нового продукта или поглощение другой компании. В обоих случаях перед командой кибербезопасности ставится ряд задач: в первом нужно определить, протестировать и внедрить целый ряд мер киберзащиты, а во втором – проанализировать ее состояние в поглощаемой компании, чтобы правильно определить стоимость. Но качественное выполнение этих действий сдвигает сроки подписания документов и завершения сделки. Понятно, безопасность опять на втором плане. Сотрудники и топ-менеджеры получают бонусы за соблюдение дедлайнов; когда что-то затягивается, они не получают ничего. И неважно, насколько уважительна причина – необходимость залатать бреши в системе безопасности. А ведь эти бреши способны подорвать финансовое положение компании куда сильнее, чем перенос сроков запуска нового продукта на несколько недель или даже месяцев.
Живая иллюстрация – история со смартфоном Samsung Galaxy Note 7. Его склонность к самопроизвольным возгораниям, о которой много писали средства массовой информации, не была результатом какой-либо киберуязвимости. Она стала возможной благодаря некоторым особенностям корпоративной культуры и системы стимулирования, поставившей быстроту запуска проекта выше безопасности. Надеясь затмить и обогнать непосредственного конкурента – Apple, компания Samsung максимально сократила сроки освоения своих продуктов, буквально вытолкнув на рынок навороченный смартфон со скрытыми конструкторскими и производственными дефектами[23]23
Yoolim Lee and Min Jeong Lee, “Rush to Take Advantage of a Dull iPhone Started Samsung’s Battery Crisis,” Bloomberg, September 18, 2016, https://www.bloomberg.com/news/articles/2016-09-18/samsung-crisis-began-in-rush-to-capitalize-on-uninspiring-iphone.
[Закрыть]. В итоге Samsung потеряла почти $9,5 млрд выручки от реализации и $5 млрд прибыли – вместо ожидаемого конкурентного преимущества[24]24
Jethro Mullen and Mark Thompson, “Samsung Takes $10 Billion Hit to End Galaxy Note 7 Fiasco,” CNN, October 11, 2016, http://money.cnn.com/2016/10/11/technology/samsung-galaxy-note-7-what-next/index.html.
[Закрыть].
Экономика кибератак
Знание врага в лицо – отличительная особенность хороших руководителей; то же справедливо и в цифровом мире, особенно если речь о государственных учреждениях. Технические возможности хакеров – один из ключевых факторов выстраивания адекватной киберзащиты.
Сочетание рыночных механизмов и мощных инноваций заставляет пересмотреть некоторые прежде незыблемые тезисы в этой области. Например, вопрос «Кто нас атакует?» несколько теряет актуальность. Эти изменения непосредственно влияют на распределение инвестиций в кибербезопасность и на общие подходы к ее оценке.
Возможности государства
Существует убежденность, что у Северной Кореи, России, Китая и США есть все ресурсы для разработки наиболее продвинутых и мощных хакерских программ. Это предположение служит, с одной стороны, оправданием увеличения «вливаний» в кибербезопасность, а с другой – прекрасным объяснением на случай, если меры защиты подводят. Но хакерская программа – все же не авианосец: чтобы создать ее, стране не обязательно располагать запредельным техническим и финансовым потенциалом.
Например, два исследователя в области кибербезопасности, Брайан Мейкселл и Дилон Бересфорд, вооруженные лишь ноутбуками MacBook Pro, продемонстрировали, как «…проникать даже в наиболее защищенные мировые сети без поддержки какого-либо государства»[25]25
Robert McMillan, “Siemens SCADA Hacking Talk Pulled Over Security Concerns,” PC World, May 19, 2011, https://www.pcworld.idg.com.au/article/387095/siemens_scada_hacking_talk_pulled_over_security_concerns/.
[Закрыть]. Они сделали это, найдя уязвимость в программно-логическом контроллере (ПЛК) от ведущего производителя этой отрасли. У них не было никаких ресурсов, только время.
ПЛК – рабочие лошадки промышленной автоматизации. Они контролируют все, от роботов в цехах до оборудования нефтеперерабатывающих заводов и центрифуг на атомных электростанциях. Как и многие технологии и продукты, они разрабатывались без учета требований кибербезопасности, а в результате обмен данными между ПЛК не всегда ведется в зашифрованной форме. Эта уязвимость позволила Мейкселлу и Бересфорду отправить ПЛК специальные сообщения и перехватить над ним контроль. Они могли заставить его работать с ошибками или вообще остановиться. Далее они могли использовать ПЛК с уязвимостью как исходный пункт и перехватить контроль над всеми остальными в данной промышленной среде.
История Кремниевой долины полна рассказов о суперуспешных компаниях, начинавших очень скромно. Например, Apple и Hewlett-Packard родились в буквальном смысле в гаражах своих основателей. Вероятно, что-то подобное можно было бы рассказать о наиболее продвинутых кибератаках. Они проводились отнюдь не из подвалов секретных правительственных организаций, а скорее из городских кафе, и стояли за ними люди вроде Мейкселла и Бересфорда, работающие со своих ноутбуков.
«Никто, кроме нас» – отныне неактуально
Даже если государство разрабатывает мощный хакерский арсенал, не обязательно, что потом оно за ним уследит. Годовой бюджет Агентства национальной безопасности США (АНБ) превышает $10 млрд, и значительная его часть всегда инвестировалась в развитие эксклюзивных хакерских инструментов[26]26
“The Black Budget: Top Secret U. S. Intelligence Funding,” Washington Post, accessed May 7, 2018, http://www.washingtonpost.com/wp-srv/special/national/black-budget/.
[Закрыть]. Но благодаря ряду утечек и взломов эти программы сейчас может купить почти любой желающий. Ошеломительно, правда?
Атака сетевого червя-вымогателя WannaCry – одного из самых разрушительных вирусов в истории – прекрасный пример того, что ни одно государство не может бесконечно «стеречь» свои разработки. Правительства сохраняют монополию на определенные ресурсы, например вооруженные силы, но хакерские программы больше не входят в категорию НКН («Никто, кроме нас»). До них часто добираются посторонние личности и организации, в том числе криминальные структуры.
Всего за четыре дня – с 12 по 15 мая 2017 года – червь WannaCry инфицировал более 200 000 компьютеров в 150 странах мира[27]27
Brian Fung, “How To Protect Yourself from the Global Ransomware Attack,” Washington Post, May 15, 2017, https://www.washingtonpost.com/news/the-switch/wp/2017/05/15/how-to-protect-yourself-from-the-global-ransomware-attack.
[Закрыть]. Червь – вредоносная программа, которая шифрует данные на зараженном компьютере. Если жертва платит отступные, хакер предоставляет ключ для дешифровки, после чего можно восстановить доступ к данным.
АНБ (группа по оперативному проникновению в компьютерные сети противника) разработало программу под названием EternalBlue, сделавшую возникновение WannaCry возможным. Это была часть огромного арсенала кибероружия, похищенного хакерской группировкой Shadow Brokers. Те намеревались продавать коварные программы правительствам, компаниям и физическим лицам. Первоначально выставив EternalBlue на аукцион, Shadow Brokers в апреле 2017 года разместила ее в бесплатном доступе[28]28
Internet Archive, “Equation Group-Cyber Weapons Auction,” accessed May 7, 2018, https://web.archive.org/web/20160816004542/http://pastebin.com/NDTU5kJQ.
[Закрыть].
Правообладателям!
Данное произведение размещено по согласованию с ООО "ЛитРес" (20% исходного текста). Если размещение книги нарушает чьи-либо права, то сообщите об этом.Читателям!
Оплатили, но не знаете что делать дальше?
