Оценка рисков, или Сколько стоит киберустойчивость

Оценка рисков, или Сколько стоит киберустойчивость

Статистика инцидентов за 2022 год показала увеличение количества как массовых, так и целенаправленных компьютерных атак. Из аналитики, публикуемой участниками рынка, можно проследить тренд на увеличение в несколько раз количества атак по сравнению с аналогичными периодами предшествующих лет.

И если раньше злоумышленниками преимущественно двигало стремление к получению материальной выгоды, то в настоящее время добавились мотивы, связанные с идеологическими соображениями: атаки нацелены на создание общественного резонанса, привлечения внимания к социальным и политическим вопросам. Таким образом, фокус злоумышленников сместился с попытки получения доступа к банковским счетам компаний на организацию недоступности систем, перехвата управления над ними, DDoS-атаки, атаки на веб-ресурсы, утечки конфиденциальной информации.

Поэтому сейчас, как никогда раньше, актуальны задачи обеспечения киберустойчивости организаций. Базовые меры обеспечения киберустойчивости понятны, большинство организаций так или иначе их уже реализовали:

1. Выделение сегментов в сети для различных сервисов и приложений, контроль сетевых потоков между ними;
2. Использование средств антивирусной защиты и своевременное обновление баз данных признаков вредоносного программного обеспечения;
3. Создание резервных копий и тестирование возможности восстановления систем из них;
4. Своевременная установка необходимых обновлений;
5. Контроль отсутствия слабых или заданных по умолчанию паролей, скомпрометированных учётных записей;
6. Минимизация привилегий.

При этом почти каждый руководитель по информационной безопасности (ИБ) задаётся вопросом: достаточно ли уже реализованных мер и как обеспечить уровень киберустойчивости, позволяющий отвечать текущим вызовам?

ОЦЕНКА РИСКОВ

Одним из возможных вариантов ответа на данный вопрос является оценка рисков ИБ.

Во многих организациях сложилась практика формального моделирования угроз (в связи с требованиями регуляторов) и абстрактной оценки рисков информационной безопасности. Безусловно, к результатам такой оценки вопросов больше, чем ответов она способна дать.

Как показывает наша практика, для того чтобы получить действительно приносящую пользу оценку рисков ИБ, необходим инструментарий, предполагающий:

• идентификацию всех процессов и выделение критических, которые обеспечивают достижение целей организации;
• определение, какие системы поддерживают, обеспечивают управление и контроль критических процессов;
• оценка, к каким негативным последствиям могут привести действия злоумышленников в отношении систем (например, потеря денежных средств, дополнительные затраты на восстановление деятельности и устранение последствий, штрафы, наложенные исполнительными органами государственной власти, недополученные доходы от приостановления или прекращения оказания услуг и другие);
• моделирование возможных действий применительно к информационной инфраструктуре организации при реализации атак с использованием баз знаний о техниках и тактиках злоумышленников (например, ФСТЭК России, MITRE ATT&CK®), результатов расследования инцидентов ИБ;
• определение, какие меры и средства защиты уже внедрены и обеспечивают нейтрализацию действий злоумышленника, какие планируются к внедрению;
• оценка эффективности мер и средств защиты по нейтрализации действий злоумышленника.

Бесспорно, реализация данного подхода достаточно трудоёмка и может потребовать привлечения дополнительной экспертизы для проведения оценки. Однако внедрение данного подхода позволит:

• количественно оценить величину рисков ИБ и сопоставить со стоимостью внедрения мер защиты;
• оценить влияние внедрения отдельной меры на значение киберустойчивости организации в целом;
• идентифицировать слабые места, которыми могут воспользоваться злоумышленники.

КАКУЮ ВЫГОДУ МОЖНО ИЗВЛЕЧЬ ИЗ РЕЗУЛЬТАТОВ?

Во-первых, оценить экономическую целесообразность внедрения отдельных средств защиты или их комплекса. Такой подход позволяет обеспечивать баланс затрат на построение системы защиты информации и потенциальных потерь в результате реализации идентифицированных рисков ИБ.

Во-вторых, можно выбрать средство или меру защиты из аналогичных или взаимозаменяющих, опираясь на их влияние на киберустойчивость организации в целом. Так, определяя способ, как «закрыть» уязвимость в программном обеспечении рабочих станций, можно сравнить по прогнозируемому значению риска ИБ варианты с полномасштабным обновлением всей инфраструктуры (что само по себе несёт риски нарушения работоспособности организации) и реализацией запрета взаимодействия по используемому вредоносным программным обеспечением протоколу на межсетевых экранах.

В-третьих, обеспечение планирования выбора или замены уже реализованных средств защиты с учётом ещё одного тренда 2022 года — прекращения или существенного сокращения функциональных возможностей зарубежных решений, невозможности продления подписок в связи с уходом или приостановкой деятельности зарубежных при условии, что заменить всё и сразу, как правило, не представляется возможным, в том числе ввиду ограниченности финансовых и временных ресурсов.

Безусловно, можно учитывать критичность отдельных систем и оборудования – в первую очередь внимания требуют те, которые обеспечивают критические процессы, где потенциальное влияние инцидентов и сбоев может привести к критичным последствиям. Но, располагая сведениями о влиянии отдельной меры на киберустойчивость организации в целом, а также о том, каким действиям злоумышленника они противостоят, можно осуществить работы по замене более эффективно.

В-четвёртых, идентифицированные слабые места можно дополнительно контролировать. Например, реализовать правила корреляции в системах класса SIEM (Security information and event management), что может помочь своевременно выявить и остановить продвижение злоумышленника по информационной инфраструктуре организации. Сформулированные таким образом ключевые индикаторы риска (КИР) можно использовать для отслеживания подозрительной активности; КИР действительно будет «работать» для обеспечения ИБ кредитной организации, а не использоваться для формального выполнения требований Положения Банка России от 08.04.2020 № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» (716-П).

Кроме этого, требования 716-П и Положения Банка России от 12.01.2022 № 787-П «Об обязательных для кредитных организаций требованиях к операционной надёжности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг» (787-П) предписывают проведение оценки рисков ИБ с учётом осуществляемых кредитной организацией процессов и форм (способов) контроля операционного риска.

Положение 787-П определяет требования к идентификации и учёту критичной архитектуры, в том числе технологических процессов и технологических участков в их составе, объектов информационной инфраструктуры организации, задействованных при их выполнении. Идентификация этих данных является одним из начальных этапов оценки рисков ИБ.

Таким образом, использование количественных оценок риска ИБ не только обеспечивает соответствие требованиям Банка России, но и позволяет обеспечивать управляемую киберустойчивость, так как деятельность не может быть управляема, если она не может быть измерена.