Текст книги "Кибербезопасность: правила игры. Как руководители и сотрудники влияют на культуру безопасности в компании"

Позвольте мне и вас вооружить такой же «мудростью». В конце каждой главы вы найдете советы о том, что можете сделать в понедельник для повышения уровня кибербезопасности вашей организации. Некоторые из них на первый взгляд очевидны, но могут существенно повлиять на ваш успех. Другие потребуют больше работы, но, скажем так: вид стоит того, чтобы забраться на гору. Советов каждый раз будет не более пяти, так как я верю: 20 % усилий дают 80 % результатов.

Рекомендации, которые вы найдете на этих страницах, можно применить на очень широком спектре предприятий. McAfee обслуживает сотни миллионов потребителей по всему миру. Мы работаем с крупнейшими правительственными и корпоративными организациями. Наши решения защищают и задние дворы, и залы заседаний. Мы действительно вас понимаем.

Использовать советы смогут люди, занимающие различные позиции, – от членов совета директоров крупных компаний до рядовых сотрудников. Кибербезопасность слишком важна, чтобы оставлять ее в ведении специалистов узкого технического профиля. Каждый сотрудник, каждое заинтересованное лицо играет свою роль. Эта книга содержит основы, которые помогут вам применить те или иные техники в организации.

Готовясь к выпуску этой книги, в 2017 году McAfee проинтервьюировала 50 руководителей с различным функционалом (включая генеральных директоров, финансовых директоров, ИТ-директоров, директоров по маркетингу и т. д.), – чтобы проверить уровень кибербезопасности их подразделений. Для этой же цели мы провели этнографическое онлайн-исследование, в котором приняли участие 69 сотрудников компаний (можете считать это своеобразной онлайн-фокус-группой). Мы задавали им вопросы, а также давали упражнения, которые подразумевали сотрудничество на протяжении нескольких дней. В начале каждой главы приведены цитаты этих респондентов, которые помогут более четко сформулировать тему обсуждения и рекомендации.

Вы, «двенадцатый игрок», нужны нам в битве. Вы можете определить ее исход. Эта книга научит вас играть, а также снабдит инструментами и советами – чтобы вы знали, когда кричать с трибуны надо еще громче. Стоит вам вступить в бой, и враг узнает: дом, в который он вошел, легко не сдастся. Мы будем снова и снова сражаться в битве, которую просто не можем позволить себе проиграть.

А теперь давайте зачислим вас в состав.

Глава 2
Мистер/миссис Целлофан

Очень простая аналогия, которую я использую, говоря о кибербезопасности и защите с советом директоров, – это бейсбольный матч. Мне нужно провести идеальную игру. Противникам же достаточно и одного сингла. Причем даже необязательно, чтобы к вам пробрался какой-то негодяй. Достаточно, чтобы кто-то просто пропустил один шаг при настройке сервера. Реальность в кибербезопасности такова, что, если вы на стороне защиты, вам нужно каждую игру проводить идеально. А этого не будет.

Старший/исполнительный вице-президент компании, работающей в сфере услуг

Бедняга Эймос. Его жена хладнокровно убивает своего любовника и заявляет, что защищалась от человека, которого называет «неизвестным» взломщиком. Эймос покорно остается рядом с ней, даже узнав уродливую правду об их романе. Куда бы ни отправился Эймос, он – всего лишь тень на фоне жуткой истории своей жены; никто вокруг его не замечает.

Я говорю о персонаже знаменитого мюзикла «Чикаго». Эймос сетует на то, что его не замечают, в сольном номере под метким названием «Мистер Целлофан»:

 
«А в общем, чтоб друг друга замечать,
Совсем необязательно кричать,
Но не заметят и при свете дня
Невзрачного, прозрачного меня.
Целлофан, мистер Целлофан,
Я б назвался сам мистер Целлофан.
По мне проводят взглядом,
Ходят рядом,
Не увидав меня».
 

Многие из нас могут разделить чувство Эймоса, что нас не замечают. Чувство не из приятных и сопровождается обычно ощущением, что нас недооценивают и не признают. И уж совсем невесело, когда тебя неправильно понимают.

Слишком долго руководители по информационной безопасности оставались в наших организациях этакими мистерами и миссис Целлофан, обреченными трудиться в условиях виртуальной анонимности и постоянно сосредоточенными на том, чтобы с честью исполнять свой долг по обеспечению безопасности. Они живут в тени тех, кого защищают. Более того, если они сбросят свою мантию невидимости, проблемы неизбежно возникнут с обеих сторон.

Как сотрудники, мы не желаем, чтобы нас беспокоили директора по ИБ или их отделы. Мы рассчитываем лишь на защиту с их стороны. Фактически они существуют где-то на задворках наших организаций, где их буквально не видно и не слышно. Если они осмеливаются появиться в поле нашего зрения со своими надоедливыми обновлениями системы безопасности, которые замедляют работу, мы начинаем жаловаться. Еще хуже, если они пытаются отключить доступ к нашим излюбленным службам или устройствам: мы просто найдем способ обойти их запрет.

Наглядный пример: по данным McAfee, в среднестатистической организации в любой момент времени используется порядка 2000 облачных сервисов. А сколько их, по мнению ИТ-подразделения? Ближе к 30[2]2
  McAfee, «Cloud Adoption and Risk Report,» 2019.


[Закрыть]. В образовании этой пропасти между представлением и реальностью можно хотя бы отчасти винить теневые ИТ – феномен, при котором сотрудники бесчинствуют и используют облачные сервисы без ведома и уж тем более без разрешения своего ИТ-отдела.

Что может быть хуже для директора по ИБ, чем стать видимым для сотрудников? Стать таковым для правления. Исторически сложилось, что руководители так же мало хотят связываться с кибербезопасностью, как и сотрудники. Если правление приглашало директора по ИБ на встречу, то обычно не для того, чтобы узнать стратегически важные новости о ситуации с кибербезопасностью в компании или сердечно отблагодарить его за работу. Скорее всего, его вызывали затем, чтобы задать сложные вопросы о взломе системы.

Deloitte[3]3
  Я делюсь результатами работы многих других, кто разбирается в проблемах кибербезопасности и передовом опыте успешных предприятий. По ходу повествования я буду озвучивать собственные идеи McAfee, но также буду с радостью знакомить вас с многочисленными исследованиями и новым мышлением таких организаций, как Deloitte, Ernst & Young (EY), ESG и другие. В этой битве вы не одиноки, о чем свидетельствует растущее число компетентных аналитиков и консультантов, фокусирующихся на этой теме.


[Закрыть], глобальная сеть компаний, предлагающих услуги в сфере аудита и консалтинга, регулярно проводит исследования, в ходе которых опрашивает первых лиц сотен публичных компаний. Так, выяснилось, что в 2014 году лишь в 5 % крупнейших компаний при совете директоров функционировали комитеты, занимавшиеся объединенными вопросами «кибербезопасности и ИТ»[4]4
  Deloitte, «2014 Board Practices Report – Perspectives from the Boardroom,»https://www2.deloitte.com/content/dam/Deloitte/us/Documents/regulatory/us-2014-board-practices-report-final-9274051-12122014.pdf.


[Закрыть].

Итак, в нашем метафорическом мюзикле руководитель по информационной безопасности во многом принял на себя роль Эймоса – он посвятил себя защите тех, кто этого совсем не ценит, и обречен оставаться в тени.

Однако преступники со своими злыми намерениями взялись переписать этот мюзикл. Не проходит и дня, чтобы газетные заголовки (или компании) не объявили об очередном взломе. Настроение первых лиц меняется. Многие осознают, что рискуют, уводя директора по ИБ в тень. Когда в 2016 году Deloitte повторили свое исследование, по уровню внимания от высшего руководства кибербезопасность поднялась до проблемы номер один, при этом 25 % компаний в течение последних двух лет столкнулись со взломами[5]5
  Deloitte, «2016 Board Practices Report – a Transparent Look at the Work of the Board,»https://www2.deloitte.com/content/dam/Deloitte/us/Documents/center-for-board-effectiveness/us-cbe-2016-board-practices-report-a-transparent-look-at-the-work-of-the-board.pdf.


[Закрыть]. Мистер и миссис Целлофан были освобождены из заточения в самом темном углу самого дальнего офиса и даже время от времени получают приглашения посетить заседание совета директоров.

Однако тот факт, что благодаря хакерам на директоров по ИБ обратили внимание, не решает проблему кибербезопасности. Отрадно наблюдать, что главные лица компаний держат вопрос под контролем, но просто принять проблему – это лишь первый шаг. Чтобы повысить уровень кибербезопасности компании, эти стороны – техническая (директор по ИБ) и стратегическая (управленцы) – должны научиться понимать друг друга.

Давайте в первую очередь попытаемся понять роль директора по ИБ, которая, по моему мнению, из всех высших должностей трактуется наименее корректно. Это пойдет на пользу не только первым лицам компании, но и всем ее сотрудникам. Директора по информационной безопасности, в свою очередь, наконец выберутся из тени.

Новенький

Корпорации, как и включающие их функциональные дисциплины, существуют уже сотни лет. Одними из самых ранних корпораций стали банки и мануфактуры, а значит, нет ничего удивительного в том, что многие из крупнейших на сегодняшний день публичных компаний обладают обширными познаниями в финансах и операционной деятельности – исходных дисциплинах, ставших основой основ для наших корпоративных предков.

И действительно, согласно отчету Deloitte о практике советов директоров, по состоянию на 2016 год среди первых лиц, которые с наибольшей вероятностью регулярно посещали заседания правления, помимо генеральных директоров и главных юристов были финансовые директора (отмеченные примерно в 99 % опрошенных компаний) и главы подразделений (до 47 %). А как же директора по информационной безопасности? Для сравнения, они регулярно присутствовали на заседаниях на высшем уровне лишь в 11 % опрошенных компаний[6]6
  Там же.


[Закрыть].

Никого не должно удивлять, что директора по ИБ только прокладывают себе дорогу на эти закрытые мероприятия. В конце концов, если учесть, что другие функциональные дисциплины существуют уже столетия, если не тысячелетия (так, юристы могут утверждать, что их функциональные корни уходят аж во времена Древнего Египта), то роль специалиста по информационной безопасности насчитывает всего какие-то десятилетия. В те времена мы даже не называли это киберзащитой. Ее пионеры обозначали сферу своей деятельности как «информационную безопасность», зародившуюся внутри информационных технологий.

Нам крайне важно совершить короткое, но важное путешествие к истокам кибербезопасности, чтобы понять сравнительно новую роль директора по ИБ. В свое время безопасность информационная и физическая были в широком смысле одним и тем же. Помню (не так уж и давно это было), если мне нужно было получить доступ к сети компании, я делала это через стационарный компьютер, подключенный к Ethernet-кабелю, выводившему меня в локальную сеть. Как сам компьютер, так и технология Ethernet – все это располагалось в помещениях компании. А значит, единственным способом получить доступ к корпоративной сети было физически войти на территорию самой фирмы, что, в свою очередь, требовало наличия определенного уровня допуска – вроде моего бейджа. Физическая и информационная безопасность были для меня неделимы – как в мыслях, так и на практике.

Меня поражает, как сильно все изменилось, и только на моем веку. Работа перестала быть местом, куда я хожу; она стала именно занятием. Я все больше работаю за пределами безопасного, физически ограниченного периметра, принадлежащего компании. Я органично совмещаю профессиональную жизнь с личной – отвечаю на электронные письма с мобильного устройства, выхожу на связь практически из любого места, где можно найти Wi-Fi, и получаю доступ к бесчисленному множеству облачных сервисов, которые облегчают мне жизнь.

И я не единственная, кто считает, что работа во многом стала «беспроводной». Давайте рассмотрим, как наши относительно новые рабочие привычки оказывают несравненно большее, чем раньше, давление на руководителей по ИБ, защищающих нас и наши компании. В любой момент времени наш директор предпринимает как минимум одно из трех стратегических усилий:

1. Преобразования

Любое внедрение технологии, будь то мобильность, облако или интернет вещей, подвергает компанию все большему риску. Дело в том, что в процессе нововведений безопасный периметр предприятия продолжает разрушаться.

Приведем пример: кому принадлежит интернет? Это запутанный лабиринт такой сложности, от которой и у самых технически подкованных из нас головы пойдут кругом.

Кому принадлежит инфраструктура облачных хранилищ вроде тех, что предоставляют Amazon, Google и Microsoft? На этот вопрос ответить уже легче: за физическую безопасность облачной среды отвечает компания, ее предоставляющая. Однако это равносильно утверждению, что в их власти и обеспечение физического доступа к огромным дата-центрам – примерно в том же смысле, что и наши компании обеспечивают защиту зданий, где мы работаем. Кража данных из облачных хранилищ обычно не является результатом физического взлома дата-центров крупнейших интернет-компаний изобретательными ворами: киберпреступники получают доступ к данным, хранящимся в вышеупомянутых дата-центрах или проходящим через них.

На ком же в конечном счете лежит ответственность за эти данные? Это самый однозначный и самый простой вопрос: ваша компания – и только она – несет ответственность за сохранность собственных данных, и неважно, где они хранятся – хоть на серверах, находящихся на территории, принадлежащей вашему работодателю, хоть на тех, что арендуются на общедоступном облаке.

Облако – лишь один из примеров убывающего контроля специалиста по информационной безопасности над инфраструктурой, используемой для хранения или передачи данных его компании. Концепция использования сотрудниками собственных устройств прочно обосновалась в бизнес-сфере, а значит, корпоративные мобильные устройства могут скоро стать пережитками прошлого. Есть весомая причина, по которой в столь многих компаниях не задумываясь позволяют своим сотрудникам по желанию работать на любом устройстве (или нескольких). Согласно данным Frost & Sullivan, использование смартфонов в рабочих целях позволяет сотрудникам сэкономить в день почти час; при этом их эффективность вырастает на 34 %[7]7
  Melanie Turek, «Employees Say Smartphones Boost Productivity by 34 Percent: Frost & Sullivan Research,» Samsung Insights, August 3, 2016, https://insights.samsung.com/2016/08/03/employees-say-smartphones-boost-productivity-by-34-percent-frost-sullivan-research/.


[Закрыть].

У старых технологий очень длительный срок годности, что только усложняет внедрение преобразований. Даже при том, что бизнес-подразделения спешат развернуть облачные сервисы (с формального согласия ИТ-отдела или без оного), за ними все равно тянется длинный хвост локальной инфраструктуры, которую необходимо поддерживать. В качестве примера рассмотрим USB-накопители. В 2017 году исследователи из Университета имени Бен-Гуриона документально зафиксировали 29 известных векторов атаки, компрометирующих USB-накопители[8]8
  Nir Nissim, Ran Yahalom, and Yuval Elovici, «USB-Based Attacks,» Computers & Security, Elsevier, September 2017, https://www.sciencedirect.com/science/article/pii/S0167404817301578.


[Закрыть]. А компания Apricorn, производитель USB-накопителей без программного обеспечения с аппаратным шифрованием, в 2017 году сообщила: из 90 % сотрудников, использующих USB, только 20 % делают это с шифрованием[9]9
  Apricorn press release, «Apricorn USB Data Protection Survey: Majority of Enterprise USB Security Is Outdated, Inadequate; Nine Out of 10 Employees Use USB Devices, But Only 20 Percent of Them Are Leveraging Encryption,» December 12, 2017, https://markets.businessinsider.com/news/stocks/apricorn-usb-data-protection-survey-majority-of-enterprise-usb-security-is-outdated-inadequate-nine-out-of-10-employees-use-usb-devices-but-only-20-percent-of-them-are-leveraging-encryption-1011079268.


[Закрыть].

Поскольку унаследованная технология редко исчезает полностью и никогда – быстро, все эти попытки преобразований влекут за собой рискованное расширение зоны охвата и ответственности.

Что же остается делать нашему директору по ИБ? Легкомысленно поддержав среду всеобщего доступа и вседозволенности, он оставит свою организацию незащищенной от возрастающих рисков. Став отделом «Нет», чтобы сдержать возможную угрозу, – скорее всего, лишится поддержки среди тех самых сотрудников, которых должен оберегать (вы же помните о тех 2000 облачных сервисов, которые в среднестатистической компании используют без ведома ИТ-специалистов?).

Директор по ИБ оказывается в незавидном положении. Он должен одновременно защищать самые ценные цифровые активы своей компании и способствовать ее преобразованию. К сожалению, более противоречащие друг другу задачи и придумать сложно.

2. Управление рисками

Киберпреступления – огромный бизнес: если быть точным, то в 2017 году его оборот составил $600 млрд, что на $100 млрд больше, чем в 2014-м[10]10
  McAfee, «The Economic Impact of Cybercrime – No Slowing Down,»https://www.mcafee.com/enterprise/en-us/assets/executive-summaries/es-economic-impact-cybercrime.pdf.


[Закрыть]. С точки зрения глобальных последствий киберпреступность – третье по важности экономическое бедствие после коррупции во власти и наркотиков.

Как же мы дошли до этого? Еще живы в памяти времена, когда киберзащита была относительно «проста». Как уже говорилось, информационная безопасность обеспечивалась физической, да и справляться с угрозами тогда было несравнимо легче. В 2006 году McAfee обнаруживал в день по 25 новых угроз. Через 10 лет эта цифра подскочила до 500 000 – более пяти новых угроз в секунду!

И масштаб – это лишь часть проблемы. Раньше обнаруживать угрозы было достаточно просто. Они исходили от вредоносного ПО – программных средств, разработанных плохими парнями, намеревавшимися навредить своим жертвам. «Традиционные» вредоносные программы включали в том числе противные вирусы, которые все вы давно знаете и ненавидите. Когда-то у вредоносного ПО была заранее известная длина строки, что и позволяло определять его как вредоносное. Это сигнатура – своего рода программный отпечаток пальца. Если полиция при поиске преступника обращается к национальной базе данных, содержащей отпечатки пальцев, то специалисты по кибербезопасности заносят сигнатуры вредоносных программ в собственные базы. Если в файле обнаруживаются характерные признаки атаки, он блокируется, а угроза устраняется.

Как же изменились времена! Самые коварные угрозы перестали быть явными: они больше не оставляют хорошо известный и легко распознаваемый отпечаток пальца. Преступники стали куда умнее. Когда вы возьмете в руки эту книгу, она почти наверняка не будет содержать указаний на новейшие киберугрозы; сейчас же, когда я пишу эти строки, моя индустрия сосредоточена на «бесфайловых» атаках. Они используют доверенные технологии внутри вашей организации, например санкционированные инструменты и приложения, а затем наносят вред: обычно это получение доступа к крупномасштабной сети вашей компании и похищение ее данных.

Я говорю «обычно», так как кража данных более не является единственной целью онлайн-преступников. Вирусы-вымогатели – еще одна злободневная тема: здесь злоумышленники даже не утруждают себя кражей данных, чтобы продать их в даркнете. Они значительно сокращают свой путь к прибыли, блокируя (или шифруя) файлы своей жертвы и требуя выкуп за ключ (или дешифрование), прежде чем окончательно их уничтожить.

Данные и деньги могут и не являться конечной целью злоумышленника. Он может быть более склонен сеять хаос, перекрывая доступ к критически важным системам своей жертвы, ставя при этом всю компанию на колени. Или же хакеры могут вести информационную войну, когда сами данные становятся орудием для создания хаоса: просто задумайтесь об объемах данных, которые каждый день генерирует ваша компания, и о том, какой значительный вред могут нанести малейшие манипуляции с ними вашему работодателю. Или, возможно, цель хакера – репутация вашей компании, в чем McAfee удостоверились на собственном горьком опыте при взломе нашей страницы в соцсети.

Вы понимаете, о чем я. Угрозы становятся не только во много раз опаснее, но и значительно сложнее и коварнее. А их масштаб, разнообразие и сила дополнительно повышают риск.

Как же можно ожидать, что директора по ИБ объяснят хитросплетения этой реальности первым лицам своих компаний, которые, по данным Deloitte, собираются не чаще шести раз в год в среднем на четыре часа? Это значит, что среднестатистический совет директоров располагает всего 24 часами в год, чтобы обсудить темы от стратегии компании и ее финансовых показателей до деликатных вопросов слияния и поглощения. Стоит ли удивляться, что кибербезопасности с ее сложной и высокотехнологичной природой на советах директоров уделяют крайне мало внимания?

Но так быть не должно. Кибербезопасность – тема действительно сугубо техническая. Но при этом по сути своей она крайне проста. Речь здесь в основном идет об управлении рисками – а этим языком большинство членов советов директоров владеют в совершенстве.

Вопросы снижения рисков для директоров по ИБ можно сравнить с ходьбой по канату. Им нужно поддерживать баланс между противодействием масштабным угрозам, которые, вероятнее всего, не приведут к катастрофическим последствиям, и незначительным по объему, но нацеленным атакам, которые могут потопить компанию.

Все мы, как члены правления, так и остальные сотрудники, можем понять директоров по ИБ в том, что касается управления рисками, ведь и сами балансируем на этой тонкой грани. У себя в ванной мы стелим коврики, снижающие риск падений (что является относительно небольшой угрозой для большинства людей моложе определенного возраста). В домах устанавливаем датчики дыма и покупаем страховку, чтобы избежать более серьезных рисков вроде пожара. И хотя в нашей жизни может произойти и нечто поистине катастрофическое – скажем, обрушится метеорит (что действительно произошло с одним бедолагой в 1954 году[11]11
  Justin Nobel, «The True Story of History's Only Known Meteorite Victim,» National Geographic News, February 20, 2013, https://news.nationalgeographic.com/news/2013/02/130220-russia-meteorite-ann-hodges-science-space-hit/.


[Закрыть]), – мы спокойно игнорируем подобные риски, учитывая их бесконечно малую вероятность.

Примерно так же классифицировать риски для своих компаний должны и директора по ИБ. Их задача – упростить тему для подачи высшему руководству, не делая ее при этом примитивной. В чем же состоит задача членов совета директоров? Погрузиться в обсуждение, понять, что скрытая бездна проблем вряд ли предусматривает однозначное решение. Война не располагает к ясности. То же касается и кибербезопасности.

3. Автоматизация и эффективность

«Делать больше при меньших затратах» – это раздражающее клише современного предприятия. А кроме того, это нелегкая обязанность директора по ИБ. Мало того, что масштаб угроз и не собирается снижаться, так еще и спрос на специалистов по кибербезопасности намного превышает предложение на рынке труда. По данным Cybersecurity Ventures, к 2021 году в сфере кибербезопасности будет более 3,5 млн незакрытых вакансий[12]12
  Cybersecurity Ventures, «Cybersecurity Jobs Report 2018–2021,» May 31, 2017, https://cybersecurityventures.com/jobs/.


[Закрыть] – такого количества людей хватит, чтобы заполнить 50 арен Национальной футбольной лиги!

И проблема лишь усугубляется. В 2014 году было подсчитано, что в сфере кибербезопасности не хватает одного миллиона профессионалов по всему миру. К 2015 году показатель вырос до полутора миллионов вакансий. В 2016-м аналитики предполагали, что к 2019 году нехватка специалистов по кибербезопасности составит 2 млн специалистов[13]13
  Там же.


[Закрыть]. Угрозы продолжают расти, а вместе с ними и потребность в квалифицированных профессионалах.

Не располагая достаточным количеством людей, которых можно было бы бросить на решение проблемы, директора по ИБ могут обратиться к множеству продуктов, предоставляемых огромным батальоном поставщиков услуг по кибербезопасности. Программных продуктов, соперничающих за ограниченный бюджет, которым располагает директор по ИБ, существует в избытке, что резко контрастирует с ситуацией на рынке труда. На момент написания этих строк директоров по ИБ осаждали порядка 3500 поставщиков услуг в области кибербезопасности[14]14
  Leslie Scism, «Insurers Creating a Consumer Ratings Service for Cybersecurity Industry,» The Wall Street Journal, March 26, 2019, https://www.wsj.com/articles/insurers-creating-a-consumer-ratings-service-for-cybersecurity-industry-11553592600?mod=hp_lista_pos5.


[Закрыть]. Каждый поставщик предлагал как минимум одну технологию для защиты от угроз, обещая решить небольшую (а то и большую) часть проблем с кибербезопасностью.

Но порой перебор хорошего – это плохо, и слишком большой выбор технологий кибербезопасности прекрасно иллюстрирует эту аксиому. Директора по ИБ в попытках предвосхитить следующую угрозу традиционно спешат с внедрением новейших защитных технологий.

Однако тут они попадают в невыгодное положение. Дело в том, что разрозненные поставщики, конкурирующие за каждый доллар, открывают перед ними темный омут технологий, по большей части плохо сочетающихся друг с другом. Слишком часто случается, что эти технологии продвигают, приобретают, а затем откладывают на полку. Бюджеты тратятся, «полочное» ПО множится, и компании больше не могут быть уверены в оправданности своих инвестиций в разного рода инициативы и инновации. Даже если технология будет «снята с полки» и внедрена на практике, велика вероятность, что ее не удастся совместить с остальными защитными системами компании.

Представьте, что отправляетесь на войну, а в вооружении у вас царит хаос. Представьте, как непоследовательно применяете оружие против врага, прикрывая свои тылы. А теперь добавьте к этой картине тот факт, что ваши бойцы не могут общаться между собой и делиться информацией об угрозах, с которыми сталкиваются, чтобы совместными силами укрепить вашу организованную оборону.

Скорее всего, вам ничего и не придется выдумывать. Просто посетите свой центр мониторинга информационной безопасности, если у компании таковой имеется, где ваши коллеги, отвечающие за кибербезопасность, первыми реагируют на бесконечные атаки. Этим профессионалам, сражающимся на передовой, часто достается в наследство целый клубок технологий и инструментов, приобретенных за многие годы и чаще всего при разных директорах по ИБ. Многие из этих продуктов не передают информацию об угрозах, не говоря уж о том, чтобы хоть чуть-чуть облегчать жизнь специалистам по киберзащите. Слишком уж часто на поверку выходит, что это ваши коллеги из кибербезопасности работают на свои инструменты, а не наоборот.

Enterprise Strategy Group (ESG), независимые аналитики, изучающие рынок ИБ, сообщают, что в 40 % организаций развернуто более 25 инструментов кибербезопасности. Примерно такой же процент компаний признают, что собирают «разведданные» вручную. А 27 % считают, что команда, отвечающая за безопасность, большинство времени проводит, «туша пожары», а не работая над стратегическими проектами[15]15
  Jon Olstik and Jack Poller, «Automation and Analytics versus the Chaos of Cybersecurity Operations,» Enterprise Strategy Group, September 2017.


[Закрыть], что приводит к выгоранию и текучести персонала – катастрофическим последствиям для директора по ИБ в условиях глобальной нехватки кадров.

Мало того, у индустрии кибербезопасности есть секрет, от которого никуда не деться: ни один продукт не способен победить киберпреступность. Может, вас это и не удивляет. В противном случае это означало бы, что в войну можно вступать, имея в арсенале всего одно оружие.

Но и это еще не все. Дело не только в том, что пресловутой магической защиты, способной отразить все угрозы, не существует. Любая защитная технология наиболее эффективна тогда, когда только появляется на рынке. И это полностью противоречит общепринятой в ИТ точке зрения.

Задумайтесь об этом. Когда на рынке появляется новая технология, большинство компаний не отваживаются быть первопроходцами в ее внедрении. В конце концов, зачем становиться подопытным кроликом, когда новшество еще не проверено? Пусть первыми начнут другие, устранят ошибки, улучшат (и удешевят) технологию. И только после этого можно поспешить с ее применением. Это выглядит гораздо более разумной схемой внедрения обычных технологий.

Однако технология кибербезопасности в корне отличается от описанных выше. Когда ИТ-организация внедряет новейшую технологию, призванную заполнить пробелы, на другой стороне нет противника, предпринимающего активные действия против ее успеха. С кибербезопасностью все обстоит не так. Когда значительная доля компаний на рынке внедряет защитную технологию, показавшую высокую эффективность в борьбе с угрозами, злоумышленники снова запираются у себя в лабораториях, чтобы разработать контрмеры. В конце концов они находят способ обойти защитную технологию, если не ослабить ее. (Именно в этот момент поставщики услуг по кибербезопасности, такие как McAfee, запираются у себя в лабораториях и разрабатывают контрмеры против их контрмер, и гонка продолжается.)

В кибербезопасности время на вес золота. Особенно важно выйти на рынок с новой защитной технологией как можно раньше, ведь максимум эффективности она обеспечит именно первым пользователям.

Итак, давайте попробуем рассуждать как директор по ИБ:

1. Не существует одной защитной технологии, способной отразить все виды кибератак: их слишком много, и злоумышленники каждый день придумывают что-то новое. Чтобы обеспечить наилучшую защиту, вам придется использовать множество продуктов от разных поставщиков.

2. Каждая защитная технология показывает наибольшую эффективность, когда только появляется на рынке. Иными словами, вам лучше одним из первых внедрять новейшие технологии кибербезопасности, так как на ранней стадии у злоумышленников пока не было стимула или времени разработать план действий против нее. Когда они сделают это, между поставщиками услуг по кибербезопасности и злоумышленниками начнется игра в кошки-мышки, в которой каждая сторона будет разрабатывать новые способы противодействовать противнику.

3. Итак, важно быть первым, кто начнет действовать. Но вы (как и вся отрасль) страдаете от недостатка талантов, и для быстрого внедрения защитных технологий вашей команде элементарно не хватает людей. Даже если вам это удастся, велика вероятность, что вы не развернете эти средства скоординированно, таким образом, чтобы все технологии в вашей системе функционировали слаженно, обеспечивая обмен информацией об угрозах и работу с совместимыми программными средствами.

4. Поскольку ваши защитные технологии не обеспечивают эффективного обмена данных об угрозах, вашей малочисленной команде, отвечающей за кибербезопасность, остается лишь заполнять бреши. Учитывая, что и объем, и сложность угроз резко возрастают, ваша команда должна распознать сигнал среди шума, обнаружив и устранив самые коварные угрозы – и не дав соперникам опередить вас и нанести вред компании.

Кто готов вступить в такую схватку? Немногие. Вот почему профессионалы в сфере кибербезопасности на самом деле являются невоспетыми героями наших компаний. Они сражаются за нас, оставаясь в тени, невидимые и в значительной степени недооцененные, с учетом всех их стараний.

Вернемся к нашему директору по ИБ: «делать больше с меньшими затратами» для него – не просто фигура речи. Это необходимость. Ему нужно найти способ автоматизировать как можно бóльшую часть рабочих процессов, чтобы позволить своему самому скудному и ценному ресурсу – сотрудникам – сосредоточиться на охоте за наиболее изощренными атаками. Кроме того, ему нужно настойчиво внедрять новые технологии киберзащиты, не ставя при этом под угрозу свои средства обеспечения безопасности неинтегрированными решениями.

Теперь вы понимаете, с чем приходится сталкиваться вашему директору по ИБ, и можете поставить себя на его место:

● Вы способствуете трансформации своей компании, защищая расширяющуюся область, по которой можно нанести удар – облачные, мобильные технологии и приложения интернета вещей.

● Вы управляете рисками своей компании в условиях стремительного роста масштабов и изощренности угроз.

● Вы повышаете эффективность, внедряя продукты сразу после их появления на рынке и встраивая их в единую систему защиты. Кроме того, вы автоматизируете рабочие процессы, чтобы высвободить потенциал вашего самого дефицитного ресурса – талантливых сотрудников – для прицельной работы с самыми сложными и опасными угрозами.

W.I.S.D.O.M. для генерального директора и правления

Все, кто читают эту книгу, являются либо частью проблемы кибербезопасности компании, либо – частью ее решения. Генеральный директор и члены правления – не исключение. Есть множество способов наконец заметить среди нас мистеров и миссис Целлофан, отдать им должное и оказать поддержку, которую они по праву заслуживают.

Во-первых, кибербезопасность не должна быть темой, поднимающейся на совете директоров по случаю или нерегулярно. Это не тот вопрос, который можно игнорировать, пока в защите не будет пробита неизбежная брешь. Первые лица компании должны ввести кибербезопасность в круг регулярно обсуждаемых тем. Я не столь наивна, чтобы полагать, будто кибербезопасность способна привлечь столько же внимания и времени, как, например, финансовые показатели компании. Но если первые лица вообще озабочены снижением риска (а я уверена, что таких большинство), то кибербезопасности следует выделить разумную долю времени в повестке дня.