Вселенная киберрисков образца 2021: методы управления и купирования

Уже в 2018 году МВФ (IMF) рассчитал, что объем годовых потенциальных убытков, связанных с киберрисками, только в финансовой сфере может достичь 9% чистого дохода банков или составить 100 млрд долл. США, а при худшем сценарии («когда частота кибератак будет в два раза выше, чем раньше, и при более широком распространении последствий») убытки могут составлять 2½–3½ чистой прибыли банков и достигать 270‑350 млрд долл.

С конца 2019 года мы живем в пандемическом мире. На конец 2020 года экспертами подтверждается порядка 3,5 трлн долл. убытков, связанных с киберпреступлениями. К 2021 году, по прогнозу Cybersecurity Ventures, этот показатель может превысить 6 трлн долл., а к 2025 году — ​достичь отметки в 10,5 трлн долл. Пандемия внесла настолько существенные коррективы в бизнес-­секторы большинства стран мира, что технические риски, риски информационной стабильности и информационной безопасности вышли на первый план.

В этом материале мы бы хотели поговорить о наиболее близкой для бизнеса проблеме в области кибербезопасности, а именно о киберрисках. Эксперты FBK CyberSecurity, дочерней компании ведущей российской аудиторско-­консалтинговой группы ФБК Grant Thornton, познакомят вас со вселенной киберрисков и расскажут, какое влияние киберриски оказывают на функционирование организации.

Риски практической кибербезопасности

Михаил Фирстов, руководитель отдела исследований FBK CyberSecurity, исследователь уязвимостей нулевого дня (0‑day), призер личных и командных CTF-соревнований, эксперт в области практической кибербезопасности

Мы существуем в реальности, в которой переход по ссылке из письма подозрительного отправителя может запустить цепочку действий, которые приведут к захвату всей информационной инфраструктуры организации, краже средств со счетов, потере критически важных данных, репутационным потерям, нарушениям непрерывности деятельности компании. Это и есть риски практической кибербезопасности — ​угрозы кибератак. Рассмотрим основные риски, связанные с атаками на информационные инфраструктуры организаций.

Риски 1. Реальные атаки технически подготовленных злоумышленников с целью кражи важных данных, перевода денег или шифрования данных для дальнейшего вымогательства.

Влияние на бизнес. Финансовые и репутационные потери из-за проблем в функционировании систем или утечки важных данных, например, персональных данных клиентов или исходного кода продукта, являющегося источником прибыли для жертвы атаки.

Методы купирования риска. Защититься от целевой атаки злоумышленников можно, только понимая весь расклад сил: ваши слабости, уязвимости и наиболее вероятные векторы атак. Комплексно ответы на эти вопросы проявляются только в тестировании на проникновение методами Red Team, которое предполагает полноценную имитацию целевой кибератаки с использованием всех возможных векторов атак.

Риски 2. Атаки злоумышленников, обладающих минимальными техническими навыками. Проникновение в информационные системы с целью шифрования, кражи информации или вымогательства денег за ее расшифровку.

Влияние на бизнес. Финансовые и репутационные потери из-за проблем в функционировании систем или утечки важных данных, например, персональных данных клиентов или исходного кода продукта, являющегося источником прибыли для жертвы атаки.

Методы купирования риска. Все преступники, как правило, для проникновения в корпоративную сеть организации используют методы социальной инженерии. Таким образом, рядовой сотрудник организации становится первым защитным периметром организации. Для того чтобы купировать риск атаки методами социальной инженерии, применяется социотехническое тестирование: так называемые белые хакеры проводят исследование открытых источников, находят прямые контакты и точки давления, входят в контакт с потенциальными жертвами и различными способами способствуют возникновению утечки данных. На основании тестирования разрабатываются рекомендации по устранению недостатков киберграмотности, кибергигиены и осведомленности рядовых сотрудников в области информационной безопасности.

Риски 3. Атаки с целью остановить или изменить функционирование критически важных систем.

Влияние на бизнес. Тайное изменение принципов функционирования критически важных систем, остановка производства, возникновение различных происшествий. Масштабы подобных атак могут быть катастрофическими: замедление турбин реактора, выброс токсичных веществ в атмосферу и т. д.

Методы купирования риска. Основная задача в этом случае — ​защита устройств, участвующих в организации критически важных процессов: переключатели, кнопки, счетчики, датчики и т. д. Особенно важно помнить, что атака на устройство, интегрированное в единую сеть, — ​это атака на все подключенные к сети устройства. Поэтому любые IoT-устройства, использующиеся на производствах, должны проверяться в рамках тестирования всей сети.

Риски 4. Атаки типа «Отказ в обслуживании» на информационные системы по заказу конкурента или с целью получения платы за прекращение атаки.

Влияние на бизнес. Остановка функционирования жизненно важных для бизнеса систем. Например, DDoS-атака на платежную систему может вызвать остановку в функционале приема платежей. Как итог — ​финансовые и репутационные потери.

Методы купирования риска. Особая опасность данного метода атак заключается в том, что ее осуществление не требует особых технически навыков или высоких финансовых затрат. Для купирования риска DDoS-атаки необходимо проводить тестирование на отказоустойчивость: комплекс мероприятий, в рамках которых эксперты по кибербезопасности создают «давление» на сеть.

Риски 5. Проникновение злоумышленника на устройство пользователя, подключенное к корпоративной сети. Кража данных с целью шпионажа или вымогательства, развитие атаки вглубь всей сети компании.

Влияние на бизнес. Финансовые и репутационные потери из-за проблем в функционировании систем или утечки важных данных, например, персональных данных клиентов или исходников платного ПО.

Методы купирования риска. Аудит корпоративных устройств и MDM.

Организационные риски в области информационной безопасности (ИБ)

Иван Рощупкин, старший эксперт отдела комплаенс и консалтинга в области информационной безопасности. Более 10 лет опыта работы с крупными коммерческими и государственными заказчиками

Современный бизнес должен поддерживать систему обеспечения информационной безопасности (СОИБ) на необходимом уровне. Отсутствие правильного регулирования и регламентации внутренних процессов приводит к различным нарушениям — ​это организационные риски. Риски, связанные с внутренними нарушениями работы СОИБ, являются одними из самых распространенных. В их число входят ошибочные действия персонала, эксплуатирующего и обслуживающего оборудование компании, проблемы системы внутреннего контроля и некорректно разработанные правила работ.

Риски 1. Несоответствие требованиям законодательства Российской Федерации в области ИБ, отраслевым требованиям по обеспечению ИБ, требованиям нормативных, методических и организационно-­распорядительных документов по обеспечению ИБ, требованиям национальных и международных стандартов в области ИБ.

Влияние на бизнес. Данные риски могут стать причиной появления внутренних нарушений и, как следствие, привести к реальным кибератакам извне, что грозит организации финансовыми и репутационными потерями, а также привлечет нежелательное внимание со стороны регулятора. Данные риски также напрямую связаны с возможностью наложения на организацию штрафных и иных видов санкций со стороны регулирующих органов.

Методы купирования рисков. Основное направление в кибербезопасности, устраняющее данные риски, — ​аудит в области ИБ. Будучи профессиональными аудиторами, мы проверяем соответствие принятых в организации мер по обеспечению информационной безопасности тем или иным российским и международным законам, стандартам, положениям (ГОСТ Р 57580.1, 382-П, 719-П, 747-П, 683-П, аудит по требованиям Единой биометрической системы (ЕБС), ISO/IEC 27001, 187-ФЗ, 152-ФЗ и GDPR (персональные данные), SWIFT и PCI DSS, 437-П и 463-П для НФО) и заверяем результаты проверки для представления в проверяющий орган.

Риски 2. Непредумышленные действия сотрудников, приводящие к нарушениям ИБ.

Влияние на бизнес. Основная проблема современной кибербезопасности — ​практическая невозможность устранения человеческого фактора в работе с критически важной информацией. Ущерб от утечки по своим последствиям может быть сопоставим с кибератаками (часто утечка становится отправной точкой для киберпреступников). Прямыми последствиями непредумышленных нарушений сотрудников являются:

• компрометация доступов в корпоративную сеть организации;
• возможность проникновения и закрепления злоумышленника внутри организации для создания брешей в защитных периметрах;
• нарушения стабильности работы программ, обеспечивающих безопасность критически важных бизнес-­процессов.

Статистика за последний год показывает, что ошибка рядового сотрудника, имеющего доступ к важной информации, может повлиять на стабильность работы всей организации.

Методы купирования риска. Для того чтобы максимально купировать риск непредумышленных нарушений в области ИБ, необходимо поддерживать осведомленность сотрудников об основных киберугрозах и методах противодействия им, повышать уровень кибергигиены и киберграмотности, а также осуществлять контроль за сотрудниками, наиболее уязвимыми для атаки со стороны злоумышленников. Данную функцию организации в силу недостатка собственных ресурсов, как правило, передают на контроль специализированным компаниям вроде нашей.

Риски 3. Отсутствие плана действий на случай нарушения стабильности работы критически важных процессов вследствие кибератаки. Несоответствие требованиям национальных и международных стандартов в области ИБ. Другие операционные риски, связанные с нарушениями требований к непрерывности деятельности организации.

Влияние на бизнес. Обеспечение непрерывности бизнеса является приоритетной задачей организации и важнейшим фактором финансовой устойчивости: это способность организации обеспечить выполнение своих основных функций даже в условиях непредвиденных обстоятельств. Основной документ, обеспечивающий контроль рисков нарушения непрерывности деятельности, — ​BCP, business continuity plan. Для некоторых организаций, например, относящихся к критической информационной инфраструктуре РФ (КИИ), наличие данного плана является обязательным условием, а его отсутствие может привести к серьезным санкциям со стороны регулятора. Для других организаций поучительным может быть пример организаций, которые даже в 2021 году уходили с рынка по причине невозможности ведения бизнеса вследствие организованной кибератаки. При этом необходимо понимать, что следовать бизнес-­стратегии, созданной без оглядки на риски, способные привести к его полному уничтожению, невозможно.

Методы купирования рисков. Нужен план непрерывности деятельности (он же BCP). Данный документ не имеет прямого отношения к киберрискам, он рассматривает бизнес со всех возможных сторон, определяет наиболее критичные риски (среди которых, как правило, есть и киберриски) и предлагает четкий план действий на случай их реализации. Это запасной план на случай отсутствия запасного плана. Данный документ будет полезен организации любого уровня, но прежде всего он необходим крупным коммерческим и государственным структурам, а также организациям, относящимся к субъектам КИИ: компаниям, работающим в областях здравоохранения, транспорта, связи, энергетики, банковской сферы, топливно-­энергетического комплекса, в области атомной энергии, оборонной, ракетно-­космической, горнодобывающей, металлургической и химической промышленности, а также организациям, обеспечивающим взаимодействие систем или сетей КИИ.

Риски 4. Отсутствие стратегии в области ИБ или отсутствие взаимосвязи между ней и существующей бизнес-­стратегией; отсутствие или неэффективность системы управления инцидентами ИБ.

Влияние на бизнес. Отсутствие вектора развития ИБ, коррелирующего с бизнес-­целями, и системы управления инцидентами необходимого уровня зрелости приводит к тому, что со временем СОИБ организации становится неэффективной и дорогостоящей, теряется четкое понимание общих целей и задач между ИБ- и бизнес-­подразделениями и, как следствие, повышается вероятность возникновения всех рисков, связанных с кибербезопасностью. Отсутствие данных элементов СОИБ также говорит о несоответствии организации требованиям ряда национальных и международных стандартов в области ИБ.

Методы купирования рисков. Данные риски относятся к числу основных в сфере кибербезопасности в связи с тем, что они тянут за собой цепочку всех остальных рисков. Для купирования данных рисков требуется разработать ключевой документ — ​стратегию в области ИБ, на ее основе будет в дальнейшем строиться система управления киберрисками организации и эффективная система управления инцидентами в области кибербезопасности. Эксперты в области ИБ создают стратегию на основании ключевых международных стандартов, что позволяет придерживаться и соответствовать лучшим практикам, проверенным временем.

Риски в области информационных технологий

Алексей Карпушкин, руководитель отдела комплаенс и консалтинга в области ИТ. Более 8 лет практики. Более 50 реализованных проектов в части ИТ-аудита и ИТ-консалтинга

Для большинства современных компаний информационные технологии являются ключевым драйвером развития, открывают пути для масштабирования, обеспечивают реальный рост бизнеса и задействованы во всех ключевых бизнес-­процессах. Новые технологии, требования регуляторов, динамично развивающиеся рынки и жесткая конкуренция приводят к увеличению сложности и росту зависимости компаний от ИТ-сервисов, что в свою очередь повышает риски, связанные с информационными технологиями.

Риски 1. Несогласованность задач бизнес- и ИТ-подразделения. Невозможность достижения поставленных бизнес-­целей.

Влияние на бизнес. Растут расходы на ИТ, обоснованные лишь кратковременными задачами, у руководства компании нет четкого понимания ценности ИТ-подразделения, его возможностей, направления дальнейшего развития и, соответственно, его долгосрочных перспектив. Простыми словами: что, зачем и почему — ​совершенно не ясно. Что важнее: не понятно, как ответить на все эти вопросы.

Методы купирования рисков. Самый быстрый и доступный (во всех смыслах) способ наладить связь, понимание между бизнесом и ИТ-подразделением (а именно: понять, какие задачи оно должно выполнять, что и как оно делает сейчас, что и как оно должно делать) — ​провести комплексный ИТ-аудит по стандарту COBIT. Данный стандарт создан (внимание!) специально для бизнесменов, а не для ИТ-специалистов. Данный стандарт предлагает ставить перед ИТ-подразделением понятные и достижимые цели и задачи, отвечающие прямым потребностям бизнеса, которые лягут в основу новой или измененной ИТ-стратегии.

Риски 2. Неэффективная работа ИТ-подразделения.

Влияние на бизнес. Зачастую отсутствие понимания эффективной ценности того или иного элемента ИТ-инфраструктуры приводит к неоправданному росту расходов и повышению финансовой нагрузки на компанию со стороны ИТ-подразделения.

Методы купирования рисков. Данный риск в первую очередь купируется в несколько шагов, которые мы обозначаем как комплекс услуг для повышения эффективности инвестиций в ИТ. Сначала мы проводим аудит по COBIT — ​определяем основные цели и задачи ИТ-подразделения в данном бизнесе. Далее — ​проводим «инвентаризацию» (определяем, какие ИТ-сервисы реально нужны для достижения целей и выполнения задач бизнеса). В завершение создаем дорожную карту развития ИТ-подразделения и внедряем ее в организацию. Таким образом, мы избавляемся от всего лишнего и оставляем только то, что работает эффективно с точки зрения бизнеса. По уровню зависимости бизнеса от эффективности ИТ данную процедуру рекомендуется проводить регулярно, раз в один-два года.

Риски 3. Нарушение сроков и недостаток качества реализации ИТ-проектов.

Влияние на бизнес. Рост расходов на разработку проекта с участием ИТ-подразделения, несоответствие готового проекта требованиям бизнес-­заказчика. Как следствие: снижение эффективности работы подразделений, зависимых от реализованного проекта, и дополнительные расходы на доработку.

Методы купирования рисков. Около 30% проектов не укладываются в требуемые сроки, и еще 50% из них подлежат доработкам в ближайшие два месяца после сдачи проекта. Проблема заключается не столько в недостатках конкретного исполнителя, сколько в невозможности внутренними силами организовать процесс, который приведет к достижению бизнес-­целей проекта. Основное решение — ​оценка и оптимизация ИТ-проектов. В нашей практике уже более 30 отрежиссированных ИТ-проектов и проектов с важной ИТ-составляющей. В рамках задач по оптимизации процесса реализации ИТ-проекта проводится аудит задействованных процессов, определяется место проекта в бизнес-­стратегии, разрабатывается методология проекта, корректируется план реализации, прорабатываются основные риски, выстраивается эффективная коммуникация между бизнес-­заказчиком и исполнителем, ведется поэтапный контроль реализации. Благодаря такому подходу скорость реализации проекта в среднем повышается на 50%.

Риски 4. Неавторизированное использование ИТ-ресурсов, неконтролируемая модификация ИТ-систем, сбои или некорректная работа ИТ-систем, несанкционированный доступ к данным, ошибки в машинном анализе данных и, как следствие, искажение финансовой и другой информации, а также потеря данных.

Влияние на бизнес. 90% всех вычислений среднестатистической организации проводится с использованием методов автоматизации. Так, например, если одна из систем, участвующих в процессе расчетов, подверглась вмешательству извне и предоставляет некорректную информацию, это может привести к последствиям разной степени важности, в частности, к искажению финансовой отчетности.

Методы купирования рисков. Избежать данных рисков можно, осуществляя полный контроль за основными ИТ-процессами: изменениями ИТ-систем, распределением доступов, реагированием на инциденты, физической безопасностью ИТ-систем и непрерывностью бизнеса. Чтобы понимать, в каком состоянии находятся все эти процессы, необходимо регулярно проводить оценку общих ИТ-контролей (ITGC): проводить проверку нормативной документации, оценку рисков и контрольной среды, тестирование дизайна и операционной эффективности ИТ-контролей; совершенствовать СВК в области ИТ.