Кибербезопасность: правила игры. Как руководители и сотрудники влияют на культуру безопасности в компании

Вы понимаете, о чем я. Угрозы становятся не только во много раз опаснее, но и значительно сложнее и коварнее. А их масштаб, разнообразие и сила дополнительно повышают риск.

Как же можно ожидать, что директора по ИБ объяснят хитросплетения этой реальности первым лицам своих компаний, которые, по данным Deloitte, собираются не чаще шести раз в год в среднем на четыре часа? Это значит, что среднестатистический совет директоров располагает всего 24 часами в год, чтобы обсудить темы от стратегии компании и ее финансовых показателей до деликатных вопросов слияния и поглощения. Стоит ли удивляться, что кибербезопасности с ее сложной и высокотехнологичной природой на советах директоров уделяют крайне мало внимания?

Но так быть не должно. Кибербезопасность – тема действительно сугубо техническая. Но при этом по сути своей она крайне проста. Речь здесь в основном идет об управлении рисками – а этим языком большинство членов советов директоров владеют в совершенстве.

Вопросы снижения рисков для директоров по ИБ можно сравнить с ходьбой по канату. Им нужно поддерживать баланс между противодействием масштабным угрозам, которые, вероятнее всего, не приведут к катастрофическим последствиям, и незначительным по объему, но нацеленным атакам, которые могут потопить компанию.

Все мы, как члены правления, так и остальные сотрудники, можем понять директоров по ИБ в том, что касается управления рисками, ведь и сами балансируем на этой тонкой грани. У себя в ванной мы стелим коврики, снижающие риск падений (что является относительно небольшой угрозой для большинства людей моложе определенного возраста). В домах устанавливаем датчики дыма и покупаем страховку, чтобы избежать более серьезных рисков вроде пожара. И хотя в нашей жизни может произойти и нечто поистине катастрофическое – скажем, обрушится метеорит (что действительно произошло с одним бедолагой в 1954 году^[11]), – мы спокойно игнорируем подобные риски, учитывая их бесконечно малую вероятность.

Примерно так же классифицировать риски для своих компаний должны и директора по ИБ. Их задача – упростить тему для подачи высшему руководству, не делая ее при этом примитивной. В чем же состоит задача членов совета директоров? Погрузиться в обсуждение, понять, что скрытая бездна проблем вряд ли предусматривает однозначное решение. Война не располагает к ясности. То же касается и кибербезопасности.

3. Автоматизация и эффективность

«Делать больше при меньших затратах» – это раздражающее клише современного предприятия. А кроме того, это нелегкая обязанность директора по ИБ. Мало того, что масштаб угроз и не собирается снижаться, так еще и спрос на специалистов по кибербезопасности намного превышает предложение на рынке труда. По данным Cybersecurity Ventures, к 2021 году в сфере кибербезопасности будет более 3,5 млн незакрытых вакансий^[12] – такого количества людей хватит, чтобы заполнить 50 арен Национальной футбольной лиги!

И проблема лишь усугубляется. В 2014 году было подсчитано, что в сфере кибербезопасности не хватает одного миллиона профессионалов по всему миру. К 2015 году показатель вырос до полутора миллионов вакансий. В 2016-м аналитики предполагали, что к 2019 году нехватка специалистов по кибербезопасности составит 2 млн специалистов^[13]. Угрозы продолжают расти, а вместе с ними и потребность в квалифицированных профессионалах.

Не располагая достаточным количеством людей, которых можно было бы бросить на решение проблемы, директора по ИБ могут обратиться к множеству продуктов, предоставляемых огромным батальоном поставщиков услуг по кибербезопасности. Программных продуктов, соперничающих за ограниченный бюджет, которым располагает директор по ИБ, существует в избытке, что резко контрастирует с ситуацией на рынке труда. На момент написания этих строк директоров по ИБ осаждали порядка 3500 поставщиков услуг в области кибербезопасности^[14]. Каждый поставщик предлагал как минимум одну технологию для защиты от угроз, обещая решить небольшую (а то и большую) часть проблем с кибербезопасностью.

Но порой перебор хорошего – это плохо, и слишком большой выбор технологий кибербезопасности прекрасно иллюстрирует эту аксиому. Директора по ИБ в попытках предвосхитить следующую угрозу традиционно спешат с внедрением новейших защитных технологий.

Однако тут они попадают в невыгодное положение. Дело в том, что разрозненные поставщики, конкурирующие за каждый доллар, открывают перед ними темный омут технологий, по большей части плохо сочетающихся друг с другом. Слишком часто случается, что эти технологии продвигают, приобретают, а затем откладывают на полку. Бюджеты тратятся, «полочное» ПО множится, и компании больше не могут быть уверены в оправданности своих инвестиций в разного рода инициативы и инновации. Даже если технология будет «снята с полки» и внедрена на практике, велика вероятность, что ее не удастся совместить с остальными защитными системами компании.

Представьте, что отправляетесь на войну, а в вооружении у вас царит хаос. Представьте, как непоследовательно применяете оружие против врага, прикрывая свои тылы. А теперь добавьте к этой картине тот факт, что ваши бойцы не могут общаться между собой и делиться информацией об угрозах, с которыми сталкиваются, чтобы совместными силами укрепить вашу организованную оборону.

Скорее всего, вам ничего и не придется выдумывать. Просто посетите свой центр мониторинга информационной безопасности, если у компании таковой имеется, где ваши коллеги, отвечающие за кибербезопасность, первыми реагируют на бесконечные атаки. Этим профессионалам, сражающимся на передовой, часто достается в наследство целый клубок технологий и инструментов, приобретенных за многие годы и чаще всего при разных директорах по ИБ. Многие из этих продуктов не передают информацию об угрозах, не говоря уж о том, чтобы хоть чуть-чуть облегчать жизнь специалистам по киберзащите. Слишком уж часто на поверку выходит, что это ваши коллеги из кибербезопасности работают на свои инструменты, а не наоборот.

Enterprise Strategy Group (ESG), независимые аналитики, изучающие рынок ИБ, сообщают, что в 40 % организаций развернуто более 25 инструментов кибербезопасности. Примерно такой же процент компаний признают, что собирают «разведданные» вручную. А 27 % считают, что команда, отвечающая за безопасность, большинство времени проводит, «туша пожары», а не работая над стратегическими проектами^[15], что приводит к выгоранию и текучести персонала – катастрофическим последствиям для директора по ИБ в условиях глобальной нехватки кадров.

Мало того, у индустрии кибербезопасности есть секрет, от которого никуда не деться: ни один продукт не способен победить киберпреступность. Может, вас это и не удивляет. В противном случае это означало бы, что в войну можно вступать, имея в арсенале всего одно оружие.

Но и это еще не все. Дело не только в том, что пресловутой магической защиты, способной отразить все угрозы, не существует. Любая защитная технология наиболее эффективна тогда, когда только появляется на рынке. И это полностью противоречит общепринятой в ИТ точке зрения.

Задумайтесь об этом. Когда на рынке появляется новая технология, большинство компаний не отваживаются быть первопроходцами в ее внедрении. В конце концов, зачем становиться подопытным кроликом, когда новшество еще не проверено? Пусть первыми начнут другие, устранят ошибки, улучшат (и удешевят) технологию. И только после этого можно поспешить с ее применением. Это выглядит гораздо более разумной схемой внедрения обычных технологий.

Однако технология кибербезопасности в корне отличается от описанных выше. Когда ИТ-организация внедряет новейшую технологию, призванную заполнить пробелы, на другой стороне нет противника, предпринимающего активные действия против ее успеха. С кибербезопасностью все обстоит не так. Когда значительная доля компаний на рынке внедряет защитную технологию, показавшую высокую эффективность в борьбе с угрозами, злоумышленники снова запираются у себя в лабораториях, чтобы разработать контрмеры. В конце концов они находят способ обойти защитную технологию, если не ослабить ее. (Именно в этот момент поставщики услуг по кибербезопасности, такие как McAfee, запираются у себя в лабораториях и разрабатывают контрмеры против их контрмер, и гонка продолжается.)

В кибербезопасности время на вес золота. Особенно важно выйти на рынок с новой защитной технологией как можно раньше, ведь максимум эффективности она обеспечит именно первым пользователям.

Итак, давайте попробуем рассуждать как директор по ИБ:

1. Не существует одной защитной технологии, способной отразить все виды кибератак: их слишком много, и злоумышленники каждый день придумывают что-то новое. Чтобы обеспечить наилучшую защиту, вам придется использовать множество продуктов от разных поставщиков.

2. Каждая защитная технология показывает наибольшую эффективность, когда только появляется на рынке. Иными словами, вам лучше одним из первых внедрять новейшие технологии кибербезопасности, так как на ранней стадии у злоумышленников пока не было стимула или времени разработать план действий против нее. Когда они сделают это, между поставщиками услуг по кибербезопасности и злоумышленниками начнется игра в кошки-мышки, в которой каждая сторона будет разрабатывать новые способы противодействовать противнику.

3. Итак, важно быть первым, кто начнет действовать. Но вы (как и вся отрасль) страдаете от недостатка талантов, и для быстрого внедрения защитных технологий вашей команде элементарно не хватает людей. Даже если вам это удастся, велика вероятность, что вы не развернете эти средства скоординированно, таким образом, чтобы все технологии в вашей системе функционировали слаженно, обеспечивая обмен информацией об угрозах и работу с совместимыми программными средствами.

4. Поскольку ваши защитные технологии не обеспечивают эффективного обмена данных об угрозах, вашей малочисленной команде, отвечающей за кибербезопасность, остается лишь заполнять бреши. Учитывая, что и объем, и сложность угроз резко возрастают, ваша команда должна распознать сигнал среди шума, обнаружив и устранив самые коварные угрозы – и не дав соперникам опередить вас и нанести вред компании.

Кто готов вступить в такую схватку? Немногие. Вот почему профессионалы в сфере кибербезопасности на самом деле являются невоспетыми героями наших компаний. Они сражаются за нас, оставаясь в тени, невидимые и в значительной степени недооцененные, с учетом всех их стараний.

Вернемся к нашему директору по ИБ: «делать больше с меньшими затратами» для него – не просто фигура речи. Это необходимость. Ему нужно найти способ автоматизировать как можно бóльшую часть рабочих процессов, чтобы позволить своему самому скудному и ценному ресурсу – сотрудникам – сосредоточиться на охоте за наиболее изощренными атаками. Кроме того, ему нужно настойчиво внедрять новые технологии киберзащиты, не ставя при этом под угрозу свои средства обеспечения безопасности неинтегрированными решениями.

Теперь вы понимаете, с чем приходится сталкиваться вашему директору по ИБ, и можете поставить себя на его место:

● Вы способствуете трансформации своей компании, защищая расширяющуюся область, по которой можно нанести удар – облачные, мобильные технологии и приложения интернета вещей.

● Вы управляете рисками своей компании в условиях стремительного роста масштабов и изощренности угроз.

● Вы повышаете эффективность, внедряя продукты сразу после их появления на рынке и встраивая их в единую систему защиты. Кроме того, вы автоматизируете рабочие процессы, чтобы высвободить потенциал вашего самого дефицитного ресурса – талантливых сотрудников – для прицельной работы с самыми сложными и опасными угрозами.

W.I.S.D.O.M. для генерального директора и правления

Все, кто читают эту книгу, являются либо частью проблемы кибербезопасности компании, либо – частью ее решения. Генеральный директор и члены правления – не исключение. Есть множество способов наконец заметить среди нас мистеров и миссис Целлофан, отдать им должное и оказать поддержку, которую они по праву заслуживают.

Во-первых, кибербезопасность не должна быть темой, поднимающейся на совете директоров по случаю или нерегулярно. Это не тот вопрос, который можно игнорировать, пока в защите не будет пробита неизбежная брешь. Первые лица компании должны ввести кибербезопасность в круг регулярно обсуждаемых тем. Я не столь наивна, чтобы полагать, будто кибербезопасность способна привлечь столько же внимания и времени, как, например, финансовые показатели компании. Но если первые лица вообще озабочены снижением риска (а я уверена, что таких большинство), то кибербезопасности следует выделить разумную долю времени в повестке дня.

Сколько именно? Зависит от того, насколько хорошо ваше руководство уже разбирается в теме. Если ваш директор по ИБ еще не дал первым лицам достаточное представление о текущем состоянии вашей кибербезопасности, выделите на эту тему не менее 90 минут. За это время ваш руководитель по ИБ должен осветить наиболее важные для компании в целом вопросы.

Для этого потребуются плотные консультации с руководителями бизнес-подразделений. Правильный ответ может не лежать на поверхности. Например, данные о клиентах могут не быть важнейшим активом вашей организации (хотя, скорее всего, в списке приоритетов будут занимать очень высокое место). Но если вы управляете крупным производственным предприятием, эти данные могут быть важнейшим вашим стратегическим активом, скомпрометировать или закрыть от вас который заинтересованные хакеры смогут с помощью подключенных устройств, дающих доступ ко всем аспектам бизнеса.

Ваш директор по ИБ должен предоставить руководству данные о текущем положении дел с уязвимостью по каждому активу в порядке убывания их стратегической ценности. Не слишком упрощая задачу, вы можете представить себе систему координат, одна ось которой представляет степень уязвимости, другая – стратегический приоритет. Активы, являющиеся одновременно стратегически важными и крайне уязвимыми, требуют немедленного перераспределения бюджета.

Большинство руководителей высшего звена склонны раскошеливаться лишь тогда, когда уже происходит взлом – и это в лучшем случае. Вот что показало проведенное в 2017 году компанией EY глобальное исследование информационной безопасности: 76 % руководителей признали, что выделение дополнительных средств на кибербезопасность могло быть инициировано только в случае взлома, который нанес реальный ущерб. Взлом без последствий? Около 2/3 заявили, что подобное не требует дополнительных расходов^[16].

Очень важно обладать достаточными знаниями в области кибер-безопасности, чтобы обеспечивать эффективный надзор за кибер-рисками. Однако на деле владеют им менее 40 % первых лиц компаний^[17].

Как только вы скооперируете первых лиц компании и руководителя по ИБ, постарайтесь сделать последнего постоянным участником заседаний совета директоров. Кибербезопасность развивается с головокружительной скоростью. Ваши противники крайне заинтересованы в том, чтобы навредить вам. Они не устраивают себе выходных. И вам не следует расслабляться.

На каждом заседании правления как минимум 30 минут посвящайте вопросам кибербезопасности. Если в среднем совет директоров собирается шесть раз в год на четырехчасовое совещание, то я прошу вас уделить менее 15 % времени обсуждению этой важнейшей темы. Deloitte сообщает, что регулярно вопросы кибербезопасности включаются в повестку заседаний правления менее чем в 20 % компаний^[18]. Если принять на веру подсчеты Deloitte и учесть, что кибербезопасность относится к самым высоким рискам для большинства руководителей, посвятить этому вопросу три часа в год кажется более чем разумным.

Попросите директора по ИБ обновлять оценку степени риска к подобным заседаниям. Он должен быть готов рассказывать об изменчивой ситуации с уязвимостями. Получить эту информацию он сможет из результатов так называемых атак «красной команды» или тестирования на проникновение. Настаивайте на проведении таких упражнений как на отдельном направлении деятельности. Это моделирование атаки злоумышленников на вашу компанию, в ходе которой можно проверить ее защитные системы. Директор по ИБ сформирует две команды: «красную» (атакующие) и «синюю» (защитники). «Красная» команда, в которую обычно входят эксперты из сторонних организаций, пытается взломать «синюю» (представителей компании). С помощью этого упражнения в компании находят ранее неизвестные уязвимости в своей системе безопасности.

Знайте: «красная» команда всегда побеждает. И это хорошо. Вы же хотите обнаружить уязвимости своей системы раньше, чем это сделают хакеры? Заплатить сторонним агентствам за то, чтобы узнать слабые места своей кибербезопасности, гораздо более выгодное решение, чем расплачиваться со злоумышленниками (и органами регулирования) в случае настоящего взлома.

Наконец, рассмотрите возможность назначить членом совета директоров человека с опытом в сфере кибербезопасности. Он привнесет в заседания свое уникальное видение проблем. Как человек, стоящий на страже киберзащиты, он позаботится о том, чтобы правление не сделало шаг назад, снова задвинув эту функцию на задний план. Думаю, у нас немало работы на этом фронте. По данным Deloitte, за последние два года более 80 % компаний не вводили в состав совета директоров никого, кто обладал бы опытом в сфере кибербезопасности^[19].

Как сделать мистера/миссис Целлофан видимыми

Директор по ИБ – незаменимый, часто недооцененный член руководящего состава. Хотя за кибербезопасность несет ответственность каждый сотрудник компании, правление и генеральный директор обязаны задать верное направление с самой верхушки организации. Вы должны сыграть свою роль в том, чтобы киберзащита поднялась в вашей системе ценностей на ту высокую ступень, которой она заслуживает.

Одна из моих любимых киноцитат – из фильма «Подозрительные лица»: «Величайший трюк дьявола состоял в том, чтобы убедить весь мир, будто его не существует». Вашим противникам нужно одно: чтобы вы продолжали держать ваших мистера или миссис Целлофан спрятанными в тени. Злоумышленники рассчитывают, что вы точно так же проигнорируете и их – растущий легион хакеров, ищущих возможность нанести урон вашей компании. Эти злодеи хотят, чтобы вы обесценили кибербезопасность, отнеся ее к нестратегическим инвестициям. Не дайте им добиться этого.

Если здесь вас постигнет неудача, вы рискуете потерять одного из самых ценных членов руководящего состава – мистера или миссис Целлофан. И в условиях нехватки талантливых специалистов в этой отрасли, о чем я уже упоминала, оперативно найти замену вам будет крайне сложно.

Век директора по безопасности в компании относительно недолог – всего 24 месяца по некоторым отраслевым данным. ESG попытались выяснить, почему руководители по ИБ не задерживаются на своих местах. Спрос на рынке труда в сфере кибербезопасности сегодня превышает предложение, и в обозримом будущем ситуация не изменится (благодаря все той же нехватке талантов). Однако ESG выяснили, что, когда директора по ИБ оставляют свою компанию и переходят в другую, руководствуются они далеко не только вопросом заработной платы:

36 % уходят, когда их работодатель не поддерживает корпоративную культуру с упором на кибербезопасность (очень хорошо, что вы читаете эту книгу!);

34 % – когда не чувствуют, что активно участвуют в исполнительном руководстве и советах директоров; и, наконец,

30 % – когда бюджеты, выделяемые на кибербезопасность, несоизмеримы с масштабами организации или отрасли^[20].

Генеральный директор и правление могут сделать многое, чтобы поучаствовать в решении проблемы кибербезопасности, и в том числе дать право голоса директору по ИБ. Помимо того, чтобы допустить его к обсуждениям, предложите ему провести собрание, где он сможет обосновать необходимость выделять больше ресурсов (учитывая вышесказанное, его аргументы в пользу увеличения бюджета скорее правомерны, чем нет). Относитесь к нему как к управленцу и изучайте его аргументы, задавая вопросы по существу. Постарайтесь сначала глубже изучить проблему кибербезопасности – надеюсь, прочтение этой главы поддержало вас в данном стремлении.

На самом деле директор по ИБ может быть сделан из чего угодно, только не из хрупкого целлофана. Выстоять в суровых ветрах преобразований ему помогает стальной позвоночник; железные кулаки – выдержать бесконечный натиск атак; бетонная челюсть – принимать удары упреков, которые более слабых выведут из строя. Когда вы наконец распознаете и оцените твердость и решимость, отличающие самого недопонятого члена руководящей группы, вы выведете кибербезопасность на свет, а вместе с ней – и неприятелей, которые больше всего хотели бы остаться в тени.