Кибербезопасность: правила игры. Как руководители и сотрудники влияют на культуру безопасности в компании

Однако же в то время, когда я это печатаю, найдется крайне мало книг по кибербезопасности, написанных маркетологами. А уж маркетологами, проработавшими в сфере всего несколько лет, – и того меньше. Так зачем доверять такому автору в столь серьезном вопросе?

Считайте мою книгу чем-то вроде гибрида маркетинга и технологий. Всю свою карьеру я переводила технические концепции на обычный язык. Я изучала взаимодействие работы и технологий, чтобы понять, как меняется корпоративная культура.

Так что если вы в целом не разбираетесь в технологиях, будьте уверены: моя цель – дать вам достаточно знаний для понимания нюансов этой сложной темы, не загружая техническими деталями. Но если вы технологически подкованнее меня, уверяю: я не собираюсь все упрощать. Просто предложу рецепты, которые каждый сотрудник – как технический, так и любой другой – может применить для защиты своей организации. И, наконец, если вы один из моих собратьев по кибербезопасности, надеюсь, вы с удовольствием прочитаете эту книгу, восприняв ее как возможность дать другим заглянуть в наш мир. А после – передадите коллегам, не связанным с киберзащитой, чтобы они тоже вступили в наши ряды борцов за безопасность.

Почему вы?

Вы можете считать себя человеком, которому нечего привнести в сферу киберзащиты. В конце концов, как могут сотрудники, менеджеры, руководители и члены совета директоров, работа которых не связана с данной сферой, сыграть значимую роль в игре, правил которой, возможно, даже не понимают?

И здесь я обращусь за вдохновением к миру профессионального спорта – он дает нам много примеров успеха командной работы. Я не фанат спорта, но питаю слабость к американскому футболу. У меня остались очень теплые воспоминания из раннего детства: мы с отцом сидим на диване в гостиной и смотрим игру его любимой команды Dallas Cowboys.

Как и миллионы других болельщиков, в мире профессионального спорта я всего лишь зритель. Просмотр игры – это самое короткое расстояние, на которое большинство из нас может к ней приблизиться. Зрители практически не влияют на исход игры. Эта роль возложена на гораздо более важные персоны – спортсменов и тренеров, – чьи талант, упорство и командная работа в конечном счете определяют, одержат ли они победу.

Раньше я верила в это. Но потом узнала о 12-м игроке Seattle Seahawks – американской профессиональной футбольной команды. Во время любого матча на поле выходят по 11 футболистов от каждой команды. Но Seahawks признают 12-го игрока – не менее важную толпу зрителей.

Со временем я поняла, что мы с папой не желали встречи наших «ковбоев» с Seattle Seahawks на их поле. На их стадионе соперников не ожидает теплый прием. Уровень шума, создаваемый «двенадцатым игроком» команды, всего на пару децибел ниже, чем на летной палубе авианосца. И, как оказалось, поддержка зрителей существенно повлияла на исход нескольких игр. За три сезона Seahawks на своем поле одержали 26 побед против двух поражений. «Двенадцатый игрок» дважды установил мировой рекорд по шуму, создаваемому толпой, и даже спровоцировал как минимум одно небольшое землетрясение.

Эта заслуженная футбольная команда знает, насколько важны зрители. 15 декабря 1984 года из уважения к своим болельщикам они изъяли из обращения 12-й номер. Гигантский флагшток с цифрой 12 гордо реет над их стадионом. А когда команда вышла на поле перед игрой в Супербоуле, шествие возглавлял человек с флагом – также с изображением заветного числа.

Неужели «12» (как называют фанатов Seahawks) действительно такие громкие? В целом – да. Но оказалось, что их стадион был специально спроектирован так, чтобы усиливать шум. В отличие от других полей под открытым небом, где шум рассеивается естественным образом, на стадионе Seahawks есть своего рода вторая палуба и навес, которые направляют шум вниз, создавая какофонию, когда болельщики кричат^[1]. Руководство команды приложило немало усилий, чтобы сделать «двенадцатого игрока» полноправным участником матчей и прибавить его коллективную мощь к своей.

История о двенадцатом игроке учит нас тому, что зрители могут влиять на исход. Но для этого их нужно вовлекать. Они должны быть полноправными участниками происходящего. И вот теперь – ваш выход. Я написала эту книгу, чтобы каждый осознал важность собственного участия в непрекращающемся соревновании за кибербезопасность. Никто не обвинит вас в том, что вы не надели форму раньше. Но после прочтения этой книги никто не сможет оправдать вашего отказа от ответственности.

В этой книге я хочу продолжить диалог с того места, на котором заканчивалось так много других текстов: дать новичкам в сфере бизнеса план действий, который они могут немедленно воплотить в жизнь, чтобы стать частью борьбы за кибербезопасность. Если вы все еще сомневаетесь, стоит ли вступать в битву, знайте: вы уже в ней. Киберпреступники надеются на равнодушие и отстраненность сотрудников – так им будет проще наносить удары. Если вы не активный игрок, выступающий за свою компанию, вероятно, вы пешка в руках врага. Если вы цените онлайн-свободу, если вам важно, чтобы данные, которые вы используете для принятия решений, не были скомпрометированы, если хотите, чтобы ваши девайсы использовались во благо, а не во вред, то вы уже разделяете миссию профессионалов сферы кибербезопасности. У вас больше общего с нами, чем вы могли себе представить.

W.I.S.D.O.M.

Руководство McAfee серьезно относится к развитию. Каждый квартал мы собираемся вместе, чтобы снова и снова превращать просто «работу» в «командную работу». Мы учимся у коллег, делимся личными историями о наших профессиональных буднях и даем обещание быть более искренними друг с другом и с нашими сотрудниками. В конце этих встреч мы практикуем инструмент W.I.S.D.O.M. (аббревиатура, складывающаяся в англ. слово «мудрость» – Прим. пер.), о котором узнали от группы компаний AIP, нашего партнера по развитию лидерства. Расшифровывается аббревиатура так: What I'll Say (and do) Differently On Monday – «Что я скажу (и сделаю) иначе в понедельник». Каждый из нас берет на себя обязательство проработать одну из ключевых областей развития, которые мы обсудили.

Позвольте мне и вас вооружить такой же «мудростью». В конце каждой главы вы найдете советы о том, что можете сделать в понедельник для повышения уровня кибербезопасности вашей организации. Некоторые из них на первый взгляд очевидны, но могут существенно повлиять на ваш успех. Другие потребуют больше работы, но, скажем так: вид стоит того, чтобы забраться на гору. Советов каждый раз будет не более пяти, так как я верю: 20 % усилий дают 80 % результатов.

Рекомендации, которые вы найдете на этих страницах, можно применить на очень широком спектре предприятий. McAfee обслуживает сотни миллионов потребителей по всему миру. Мы работаем с крупнейшими правительственными и корпоративными организациями. Наши решения защищают и задние дворы, и залы заседаний. Мы действительно вас понимаем.

Использовать советы смогут люди, занимающие различные позиции, – от членов совета директоров крупных компаний до рядовых сотрудников. Кибербезопасность слишком важна, чтобы оставлять ее в ведении специалистов узкого технического профиля. Каждый сотрудник, каждое заинтересованное лицо играет свою роль. Эта книга содержит основы, которые помогут вам применить те или иные техники в организации.

Готовясь к выпуску этой книги, в 2017 году McAfee проинтервьюировала 50 руководителей с различным функционалом (включая генеральных директоров, финансовых директоров, ИТ-директоров, директоров по маркетингу и т. д.), – чтобы проверить уровень кибербезопасности их подразделений. Для этой же цели мы провели этнографическое онлайн-исследование, в котором приняли участие 69 сотрудников компаний (можете считать это своеобразной онлайн-фокус-группой). Мы задавали им вопросы, а также давали упражнения, которые подразумевали сотрудничество на протяжении нескольких дней. В начале каждой главы приведены цитаты этих респондентов, которые помогут более четко сформулировать тему обсуждения и рекомендации.

Вы, «двенадцатый игрок», нужны нам в битве. Вы можете определить ее исход. Эта книга научит вас играть, а также снабдит инструментами и советами – чтобы вы знали, когда кричать с трибуны надо еще громче. Стоит вам вступить в бой, и враг узнает: дом, в который он вошел, легко не сдастся. Мы будем снова и снова сражаться в битве, которую просто не можем позволить себе проиграть.

А теперь давайте зачислим вас в состав.

Глава 2
Мистер/миссис Целлофан

Очень простая аналогия, которую я использую, говоря о кибербезопасности и защите с советом директоров, – это бейсбольный матч. Мне нужно провести идеальную игру. Противникам же достаточно и одного сингла. Причем даже необязательно, чтобы к вам пробрался какой-то негодяй. Достаточно, чтобы кто-то просто пропустил один шаг при настройке сервера. Реальность в кибербезопасности такова, что, если вы на стороне защиты, вам нужно каждую игру проводить идеально. А этого не будет.

Старший/исполнительный вице-президент компании, работающей в сфере услуг

Бедняга Эймос. Его жена хладнокровно убивает своего любовника и заявляет, что защищалась от человека, которого называет «неизвестным» взломщиком. Эймос покорно остается рядом с ней, даже узнав уродливую правду об их романе. Куда бы ни отправился Эймос, он – всего лишь тень на фоне жуткой истории своей жены; никто вокруг его не замечает.

Я говорю о персонаже знаменитого мюзикла «Чикаго». Эймос сетует на то, что его не замечают, в сольном номере под метким названием «Мистер Целлофан»:

 
«А в общем, чтоб друг друга замечать,
Совсем необязательно кричать,
Но не заметят и при свете дня
Невзрачного, прозрачного меня.
Целлофан, мистер Целлофан,
Я б назвался сам мистер Целлофан.
По мне проводят взглядом,
Ходят рядом,
Не увидав меня».
 

Многие из нас могут разделить чувство Эймоса, что нас не замечают. Чувство не из приятных и сопровождается обычно ощущением, что нас недооценивают и не признают. И уж совсем невесело, когда тебя неправильно понимают.

Слишком долго руководители по информационной безопасности оставались в наших организациях этакими мистерами и миссис Целлофан, обреченными трудиться в условиях виртуальной анонимности и постоянно сосредоточенными на том, чтобы с честью исполнять свой долг по обеспечению безопасности. Они живут в тени тех, кого защищают. Более того, если они сбросят свою мантию невидимости, проблемы неизбежно возникнут с обеих сторон.

Как сотрудники, мы не желаем, чтобы нас беспокоили директора по ИБ или их отделы. Мы рассчитываем лишь на защиту с их стороны. Фактически они существуют где-то на задворках наших организаций, где их буквально не видно и не слышно. Если они осмеливаются появиться в поле нашего зрения со своими надоедливыми обновлениями системы безопасности, которые замедляют работу, мы начинаем жаловаться. Еще хуже, если они пытаются отключить доступ к нашим излюбленным службам или устройствам: мы просто найдем способ обойти их запрет.

Наглядный пример: по данным McAfee, в среднестатистической организации в любой момент времени используется порядка 2000 облачных сервисов. А сколько их, по мнению ИТ-подразделения? Ближе к 30^[2]. В образовании этой пропасти между представлением и реальностью можно хотя бы отчасти винить теневые ИТ – феномен, при котором сотрудники бесчинствуют и используют облачные сервисы без ведома и уж тем более без разрешения своего ИТ-отдела.

Что может быть хуже для директора по ИБ, чем стать видимым для сотрудников? Стать таковым для правления. Исторически сложилось, что руководители так же мало хотят связываться с кибербезопасностью, как и сотрудники. Если правление приглашало директора по ИБ на встречу, то обычно не для того, чтобы узнать стратегически важные новости о ситуации с кибербезопасностью в компании или сердечно отблагодарить его за работу. Скорее всего, его вызывали затем, чтобы задать сложные вопросы о взломе системы.

Deloitte^[3], глобальная сеть компаний, предлагающих услуги в сфере аудита и консалтинга, регулярно проводит исследования, в ходе которых опрашивает первых лиц сотен публичных компаний. Так, выяснилось, что в 2014 году лишь в 5 % крупнейших компаний при совете директоров функционировали комитеты, занимавшиеся объединенными вопросами «кибербезопасности и ИТ»^[4].

Итак, в нашем метафорическом мюзикле руководитель по информационной безопасности во многом принял на себя роль Эймоса – он посвятил себя защите тех, кто этого совсем не ценит, и обречен оставаться в тени.

Однако преступники со своими злыми намерениями взялись переписать этот мюзикл. Не проходит и дня, чтобы газетные заголовки (или компании) не объявили об очередном взломе. Настроение первых лиц меняется. Многие осознают, что рискуют, уводя директора по ИБ в тень. Когда в 2016 году Deloitte повторили свое исследование, по уровню внимания от высшего руководства кибербезопасность поднялась до проблемы номер один, при этом 25 % компаний в течение последних двух лет столкнулись со взломами^[5]. Мистер и миссис Целлофан были освобождены из заточения в самом темном углу самого дальнего офиса и даже время от времени получают приглашения посетить заседание совета директоров.

Однако тот факт, что благодаря хакерам на директоров по ИБ обратили внимание, не решает проблему кибербезопасности. Отрадно наблюдать, что главные лица компаний держат вопрос под контролем, но просто принять проблему – это лишь первый шаг. Чтобы повысить уровень кибербезопасности компании, эти стороны – техническая (директор по ИБ) и стратегическая (управленцы) – должны научиться понимать друг друга.

Давайте в первую очередь попытаемся понять роль директора по ИБ, которая, по моему мнению, из всех высших должностей трактуется наименее корректно. Это пойдет на пользу не только первым лицам компании, но и всем ее сотрудникам. Директора по информационной безопасности, в свою очередь, наконец выберутся из тени.

Новенький

Корпорации, как и включающие их функциональные дисциплины, существуют уже сотни лет. Одними из самых ранних корпораций стали банки и мануфактуры, а значит, нет ничего удивительного в том, что многие из крупнейших на сегодняшний день публичных компаний обладают обширными познаниями в финансах и операционной деятельности – исходных дисциплинах, ставших основой основ для наших корпоративных предков.

И действительно, согласно отчету Deloitte о практике советов директоров, по состоянию на 2016 год среди первых лиц, которые с наибольшей вероятностью регулярно посещали заседания правления, помимо генеральных директоров и главных юристов были финансовые директора (отмеченные примерно в 99 % опрошенных компаний) и главы подразделений (до 47 %). А как же директора по информационной безопасности? Для сравнения, они регулярно присутствовали на заседаниях на высшем уровне лишь в 11 % опрошенных компаний^[6].

Никого не должно удивлять, что директора по ИБ только прокладывают себе дорогу на эти закрытые мероприятия. В конце концов, если учесть, что другие функциональные дисциплины существуют уже столетия, если не тысячелетия (так, юристы могут утверждать, что их функциональные корни уходят аж во времена Древнего Египта), то роль специалиста по информационной безопасности насчитывает всего какие-то десятилетия. В те времена мы даже не называли это киберзащитой. Ее пионеры обозначали сферу своей деятельности как «информационную безопасность», зародившуюся внутри информационных технологий.

Нам крайне важно совершить короткое, но важное путешествие к истокам кибербезопасности, чтобы понять сравнительно новую роль директора по ИБ. В свое время безопасность информационная и физическая были в широком смысле одним и тем же. Помню (не так уж и давно это было), если мне нужно было получить доступ к сети компании, я делала это через стационарный компьютер, подключенный к Ethernet-кабелю, выводившему меня в локальную сеть. Как сам компьютер, так и технология Ethernet – все это располагалось в помещениях компании. А значит, единственным способом получить доступ к корпоративной сети было физически войти на территорию самой фирмы, что, в свою очередь, требовало наличия определенного уровня допуска – вроде моего бейджа. Физическая и информационная безопасность были для меня неделимы – как в мыслях, так и на практике.

Меня поражает, как сильно все изменилось, и только на моем веку. Работа перестала быть местом, куда я хожу; она стала именно занятием. Я все больше работаю за пределами безопасного, физически ограниченного периметра, принадлежащего компании. Я органично совмещаю профессиональную жизнь с личной – отвечаю на электронные письма с мобильного устройства, выхожу на связь практически из любого места, где можно найти Wi-Fi, и получаю доступ к бесчисленному множеству облачных сервисов, которые облегчают мне жизнь.

И я не единственная, кто считает, что работа во многом стала «беспроводной». Давайте рассмотрим, как наши относительно новые рабочие привычки оказывают несравненно большее, чем раньше, давление на руководителей по ИБ, защищающих нас и наши компании. В любой момент времени наш директор предпринимает как минимум одно из трех стратегических усилий:

1. Преобразования

Любое внедрение технологии, будь то мобильность, облако или интернет вещей, подвергает компанию все большему риску. Дело в том, что в процессе нововведений безопасный периметр предприятия продолжает разрушаться.

Приведем пример: кому принадлежит интернет? Это запутанный лабиринт такой сложности, от которой и у самых технически подкованных из нас головы пойдут кругом.

Кому принадлежит инфраструктура облачных хранилищ вроде тех, что предоставляют Amazon, Google и Microsoft? На этот вопрос ответить уже легче: за физическую безопасность облачной среды отвечает компания, ее предоставляющая. Однако это равносильно утверждению, что в их власти и обеспечение физического доступа к огромным дата-центрам – примерно в том же смысле, что и наши компании обеспечивают защиту зданий, где мы работаем. Кража данных из облачных хранилищ обычно не является результатом физического взлома дата-центров крупнейших интернет-компаний изобретательными ворами: киберпреступники получают доступ к данным, хранящимся в вышеупомянутых дата-центрах или проходящим через них.

На ком же в конечном счете лежит ответственность за эти данные? Это самый однозначный и самый простой вопрос: ваша компания – и только она – несет ответственность за сохранность собственных данных, и неважно, где они хранятся – хоть на серверах, находящихся на территории, принадлежащей вашему работодателю, хоть на тех, что арендуются на общедоступном облаке.

Облако – лишь один из примеров убывающего контроля специалиста по информационной безопасности над инфраструктурой, используемой для хранения или передачи данных его компании. Концепция использования сотрудниками собственных устройств прочно обосновалась в бизнес-сфере, а значит, корпоративные мобильные устройства могут скоро стать пережитками прошлого. Есть весомая причина, по которой в столь многих компаниях не задумываясь позволяют своим сотрудникам по желанию работать на любом устройстве (или нескольких). Согласно данным Frost & Sullivan, использование смартфонов в рабочих целях позволяет сотрудникам сэкономить в день почти час; при этом их эффективность вырастает на 34 %^[7].

У старых технологий очень длительный срок годности, что только усложняет внедрение преобразований. Даже при том, что бизнес-подразделения спешат развернуть облачные сервисы (с формального согласия ИТ-отдела или без оного), за ними все равно тянется длинный хвост локальной инфраструктуры, которую необходимо поддерживать. В качестве примера рассмотрим USB-накопители. В 2017 году исследователи из Университета имени Бен-Гуриона документально зафиксировали 29 известных векторов атаки, компрометирующих USB-накопители^[8]. А компания Apricorn, производитель USB-накопителей без программного обеспечения с аппаратным шифрованием, в 2017 году сообщила: из 90 % сотрудников, использующих USB, только 20 % делают это с шифрованием^[9].

Поскольку унаследованная технология редко исчезает полностью и никогда – быстро, все эти попытки преобразований влекут за собой рискованное расширение зоны охвата и ответственности.

Что же остается делать нашему директору по ИБ? Легкомысленно поддержав среду всеобщего доступа и вседозволенности, он оставит свою организацию незащищенной от возрастающих рисков. Став отделом «Нет», чтобы сдержать возможную угрозу, – скорее всего, лишится поддержки среди тех самых сотрудников, которых должен оберегать (вы же помните о тех 2000 облачных сервисов, которые в среднестатистической компании используют без ведома ИТ-специалистов?).

Директор по ИБ оказывается в незавидном положении. Он должен одновременно защищать самые ценные цифровые активы своей компании и способствовать ее преобразованию. К сожалению, более противоречащие друг другу задачи и придумать сложно.

2. Управление рисками

Киберпреступления – огромный бизнес: если быть точным, то в 2017 году его оборот составил $600 млрд, что на $100 млрд больше, чем в 2014-м^[10]. С точки зрения глобальных последствий киберпреступность – третье по важности экономическое бедствие после коррупции во власти и наркотиков.

Как же мы дошли до этого? Еще живы в памяти времена, когда киберзащита была относительно «проста». Как уже говорилось, информационная безопасность обеспечивалась физической, да и справляться с угрозами тогда было несравнимо легче. В 2006 году McAfee обнаруживал в день по 25 новых угроз. Через 10 лет эта цифра подскочила до 500 000 – более пяти новых угроз в секунду!

И масштаб – это лишь часть проблемы. Раньше обнаруживать угрозы было достаточно просто. Они исходили от вредоносного ПО – программных средств, разработанных плохими парнями, намеревавшимися навредить своим жертвам. «Традиционные» вредоносные программы включали в том числе противные вирусы, которые все вы давно знаете и ненавидите. Когда-то у вредоносного ПО была заранее известная длина строки, что и позволяло определять его как вредоносное. Это сигнатура – своего рода программный отпечаток пальца. Если полиция при поиске преступника обращается к национальной базе данных, содержащей отпечатки пальцев, то специалисты по кибербезопасности заносят сигнатуры вредоносных программ в собственные базы. Если в файле обнаруживаются характерные признаки атаки, он блокируется, а угроза устраняется.

Как же изменились времена! Самые коварные угрозы перестали быть явными: они больше не оставляют хорошо известный и легко распознаваемый отпечаток пальца. Преступники стали куда умнее. Когда вы возьмете в руки эту книгу, она почти наверняка не будет содержать указаний на новейшие киберугрозы; сейчас же, когда я пишу эти строки, моя индустрия сосредоточена на «бесфайловых» атаках. Они используют доверенные технологии внутри вашей организации, например санкционированные инструменты и приложения, а затем наносят вред: обычно это получение доступа к крупномасштабной сети вашей компании и похищение ее данных.

Я говорю «обычно», так как кража данных более не является единственной целью онлайн-преступников. Вирусы-вымогатели – еще одна злободневная тема: здесь злоумышленники даже не утруждают себя кражей данных, чтобы продать их в даркнете. Они значительно сокращают свой путь к прибыли, блокируя (или шифруя) файлы своей жертвы и требуя выкуп за ключ (или дешифрование), прежде чем окончательно их уничтожить.

Данные и деньги могут и не являться конечной целью злоумышленника. Он может быть более склонен сеять хаос, перекрывая доступ к критически важным системам своей жертвы, ставя при этом всю компанию на колени. Или же хакеры могут вести информационную войну, когда сами данные становятся орудием для создания хаоса: просто задумайтесь об объемах данных, которые каждый день генерирует ваша компания, и о том, какой значительный вред могут нанести малейшие манипуляции с ними вашему работодателю. Или, возможно, цель хакера – репутация вашей компании, в чем McAfee удостоверились на собственном горьком опыте при взломе нашей страницы в соцсети.