Кибербезопасность: цикл осведомленности

Вирус, несущий в себе вредоносную программу, проникает в систему управления заводом по обогащению урана и сидит там больше года, изучая работу предприятия и ожидая сигнала к атаке. Наконец сигнал поступает. Операторы видят, что все индикаторы в норме, но на самом деле центрифуги вращаются с неконтролируемой скоростью, вызывая серьезные сбои.

Если бы такой сюжет был показан в кино четыре года назад, все сочли бы его научной фантастикой. После появления червя Stuxnet и ему подобных это уже реальность. Злоумышленники могут получить доступ к промышленным автоматизированным системам управления, которые раньше считались неприступными, и нанести им ущерб.

Stuxnet – вирус, созданный для диверсии на заводе по обогащению урана в Иране, – заставил общественность впервые осознать проблему. Понимание ее важности расширяется с каждым днем, заставляя промышленные предприятия искать средства кибербезопасности для защиты своей инфраструктуры. Всякий раз, когда возможности злоумышленников увеличиваются, возрастает и наша осведомленность. Игнорировать угрозу становится очень трудно.

Опасность, нависшая над промышленностью, очевидна и реальна: за последние семь лет совокупный темп роста кибератак на автоматизированные системы управления составил 54%.

По данным одного из исследований, 53% опрошенных компаний в США сейчас рассматривают киберугрозы как один из трех основных рисков для бизнеса. Эти данные подтверждаются и сообщением Всемирного экономического форума о том, что кибератаки стали одной из пяти главных опасностей, угрожавших миру в 2014 г. В исследовании, проведенном фирмой BAE Systems Applied Intelligence, подробно рассматриваются поводы для беспокойства, связанные с кибербезопасностью, и отмечается, что со стороны крупнейших мировых компаний растет спрос на аналитические данные для понимания киберугроз и уязвимостей бизнеса.

Кроме того, объем накопленной информации, регулярность, сложность и воздействие на бизнес превратили планирование кибербезопасности и средств защиты из оперативной задачи в жизненно важный компонент стратегической политики высшего руководства, о чем говорится в исследовании Bain & Company. Подобная осведомленность заставляет компании разрабатывать планы создания безопасных сред.

Еще одно исследование, проведенное SANS Institute, показало, что большинство организаций в настоящее время работает исходя из предположения, что их сеть уже скомпрометирована или вскоре подвергнется атаке.

Проблема в том, что высшее руководство по-прежнему испытывает недостаток информации, из-за чего инвестиции в защиту от рисков не всегда адекватны реальной стратегической ценности этой защиты. Хотя, согласно другому исследованию, проведенному Symantec, у компаний "первого эшелона", применяющих стратегии безопасности, вероятность подвергнуться серьезной кибератаке снижается в 2,5 раза, а вероятность простоя вследствие кибератаки – в 3,5 раза.

С учетом этой информации в исследовании Bain & Co. делается вывод, что у многих организаций меры IТ-безопасности слишком несоразмерны основным целям и общему уровню риска. Это говорит о нехватке качественного управления рисками и о том, что кибербезопасность обеспечивается по принципу реагирования на уже совершившееся событие. Исследование указывает на разрыв между управлением рисками и разработкой мер безопасности в организациях вследствие того, что возникающие угрозы часто не обсуждаются между бизнес-руководителями и IТ-специалистами.

С чего начать?

Итак, руководство компании осведомлено о проблеме кибербезопасности, но информация недостаточно точна и подробна для того, чтобы эта осведомленность приносила пользу для производственной составляющей предприятия. Проблема усугубляется также конфликтом культур, существующим между IТ и производственными специалистами. Хотя цель у них одна – сделать системы надежными и защищенными, – терминология и базовая проблематика разные. Поэтому если у каждого из отделов нет полного представления о сфере деятельности другого отдела, общаться им нелегко.

Например, Ethernet – это сетевой протокол второго уровня, а IP – протокол Интернета, который находится на втором и третьем уровне модели OSI (взаимодействия открытых систем). Ethernet/IP – это промышленный протокол связи, с помощью которого данные протокола CIP (Common Industrial Protocol) передаются по Ethernet. Ситуация дополнительно усложняется тем, что уровни модели OSI часто путают с уровнями модели Purdue.

Один из способов решить эту проблему взаимодействия – дать IТ-специалистам возможность спокойно и обстоятельно поговорить с производственниками, чтобы понять их проблемы. В то же время производственные специалисты должны получить представление об информационной безопасности, чтобы помочь определить, что нужно, а что не нужно в их сетях.

Отправная точка

Меры кибербезопасности когда-то рассматривались скорее как помеха производственному процессу. Для изменений в корпоративной культуре потребовалось немало времени и образовательной работы, способствующей формированию нужных навыков у персонала. Процесс проходил по-разному в разных отраслях, но в целом довольно медленно. Однако сегодня все больше компаний в большинстве отраслей демонстрируют реальный прогресс.

У большинства компаний есть планы по обеспечению безопасности, у одних более, у других менее зрелые. Разработка хорошего плана по безопасности – процесс эволюционный.

При реализации плана по обеспечению кибербезопасности на производственном предприятии также необходимо рассмотреть уравнение риска. Как потенциальный взломщик или вредоносный агент, предназначенный специально для атаки на вашу компанию, собирается пробраться в систему? Какова вероятность того, что это произойдет? Какие активы могут быть скомпрометированы? Во сколько это обойдется? Если из уравнения риска следует, что на предприятии имеется подверженная высокому риску система, компрометация которой может привести к значительному материальному ущербу или даже к гибели людей – это оправдывает дополнительные расходы на более жесткие меры безопасности.

Каждый сотрудник должен быть осторожен

Кибербезопасность должна стать частью культуры производственных предприятий. Предприятия и их сотрудники очень хорошо понимают важность охраны труда, однако кибербезопасность требует не меньшего внимания.

Создание защищенной системы связано со своими сложностями, и универсальных решений не существует. Необходимо следить за тем, чтобы в разработке плана кибербезопасности участвовали те члены организации, чей вклад особенно важен. В этом случае полученный план будет максимально соответствовать ее потребностям.

Понимание того, что план действий необходим, – это первый шаг. Однако вскоре понадобится обосновать затраты, а это настоящая организационная проблема. Существуют проверенные методы оценки рисков, с помощью которых можно определить, оправдана ли контрмера в сравнении с финансовыми последствиями инцидента: если стоимость риска равна x, а стоимость реализации контрмеры меньше x, то обосновать ее нетрудно. Если в организации есть директор по информационной безопасности, он, скорее всего, знаком с принятием подобных решений.

Трудности появляются тогда, когда не всем руководителям, принимающим решения, понятны тонкости работы производства. Например, они знают, что если случится взрыв и погибнут люди, меры по предотвращению такого инцидента имеют большую ценность. Однако они должны понимать, что существуют вторичные и третичные системы, которые потенциально способны влиять на деятельность и производительность предприятия, но которые легко упустить из виду.

Повышение осведомленности, знакомство с технологиями и изменение отношения со стороны персонала – это инвестиции в кибербезопасность, которые способны дать существенное бизнес-преимущество. Обеспечение кибербезопасности – задача непростая, но времена, когда этой задачей можно было пренебречь, давно миновали.

Колонка эксперта

Петр Ляпин

Эксперт по информационной безопасности

Цена вопроса

Задавать себе вопросы – хорошая практика при любых обстоятельствах. Речь, конечно, о действительно важных вопросах. Давать ответы самому себе в некотором смысле проще – не нужно думать о последствиях, не нужно ничего доказывать (оппонентов нет), нужно лишь найти действительно правильный и честный ответ. Такой ответ с большой вероятностью будет отражать объективную действительность, хоть и может порой здорово удивить.

Этот подход можно сравнить с занятиями некоторыми видами спорта, когда собственные ощущения могут сильно расходиться с реальностью, а понимание приходит при просмотре видео своих тренировок.

С чисто утилитарной точки зрения, задавая себе вопросы (особенно неудобные), человек неизбежно приходит к тому, что формулирует на них ответы, узнает новое, заполняет пробелы предметной области.

В сфере безопасности часто говорят, что главный вопрос, который должен задавать себе специалист, – "А что, если?", применяя его ко всем аспектам своей работы и под всеми возможными углами. В чем-то можно с этим согласиться, однако нельзя не заметить бессистемности в таком подходе. Нельзя объять необъятное, поэтому начинать нужно с начала.

Что я или мое подразделение делает для моей организации?

Конкретно, формально, в терминах основной производственно-хозяйственной деятельности организации. После ответа на этот вопрос станет прозрачна роль подразделения, его компетенция (реальная, а не прописанная в положении о структурном подразделении), задачи и способы их решения, форма и вид конечного результата и многое–многое другое. В качестве подхода можно поделить деятельность подразделения на две большие области: оптимизация издержек (выполнение обязательных требований законодательства, регуляторов и т.п.) и участие в увеличении прибавочной стоимости (собственно бизнес).

Сколько это стоит?

Сколько стоит мое подразделение для моей организации? Конкретно, формально, в рублях. Большинство руководителей даже небольших подразделений не в состоянии ответить на этот вопрос. А нужно лишь сложить фонд оплаты труда (заработную плату и связанные отчисления), стоимость аренды площадей, занимаемых подразделением, свой бюджет. Первое можно уточнить в отделе кадров, второе – в подразделении, отвечающем за эксплуатацию помещений, ну а третье – непосредственно у себя.

Ответы на эти два нетрудных вопроса способны прояснить роль и место подразделения в деятельности организации, что-то возможно скорректировать, а главное – превратить "расходную статью" в работающий инструмент, в преимущество.