С какими информационными рисками приходится сталкиваться бизнесу? Какую часть периметра безопасности нужно укреплять в первую очередь? Не смотря на гигабайты статей, методичек и руководств, настоящая опасность появляется неожиданно, и компания оказывается к ней не готова.
Самая распространенная ситуация: все знают о так называемых «инсайдерах» — сотрудниках, промышляющих хитрым корпоративным шпионажем или банальным воровством. Однако пока клиенты не украдены, а деньги не испарились со счета, никто не хочет верить в то, что инсайдер не мифический персонаж, а реальный человек, обитающий прямо тут, под боком.
Или другой пример: в последнее время одним из популярных приемов кражи или уничтожения информации стали фишинговые атаки. Это самый эффективный и дешевый способ пробиться сквозь периметр безопасности организации. Казалось бы, нужно обязательно учесть возможность противостоять именно этому типу угроз. На практике все оказалось гораздо сложнее. Массовая волна успешных фишинговых атак продемонстрировала неготовность компаний противостоять таким угрозам. Несколько сотен организаций, от мала до велика, распрощались с терабайтами ценных данных. Системы безопасности были бессильны перед действиями сотрудников, открывающих вредоносные письма и без опасения переходящих по ссылкам.
Причины тотальной неготовности организаций эффективно бороться с рисковыми ситуациями, можно описать простым определением: «время-деньги-ресурсы-приоритеты».
Денег, времени и ресурсов, как всегда, кот наплакал. А если проанализировать весь список возможных угроз и рисков, бюджеты на защиту могут взлететь до небес. Поэтому руководители начинают работать в самом правильном, казалось бы, направлении — расставлять приоритеты. То, что по мнению ответственного лица, оказывается «самым важным, самым опасным», назначается главным пугалом, и на защиту тут же выделяются средства.
В подобном подходе кроется ключевая ошибка, последствия которой – миллионы денег, потраченных на неэффективную систему безопасности и полный паралич компании при столкновении с реальной угрозой. Обычно «пугалами» служат те способы атаки, с которыми уже сталкивался руководитель или же наиболее очевидные угрозы, с точки зрения интуиции. Никаких исследований, никакой аналитики – в основу защиты данных ложится «чутье» ответственных лиц. В лучшем случае, делается экспресс-анализ современных рисков и угроз, с которыми уже сталкивалась компания, или же другие игроки рынка, и на основании документа строится стратегия защиты. О том, что молния редко бьет дважды в одно место, а приемы злоумышленников модифицируются ежедневно, создатели таких стратегий забывают. В итоге, выбранные «приоритетные риски», на проверку, оказываются фикцией и не имеют к реальности никакого отношения. Сложно ожидать положительного результата от изначально неверного подхода к решению проблемы.
Правильный подход к решению вопросов информационной безопасности замечательно иллюстрирует пример из истории.
Экскурс в историю
Во времена Второй мировой войны математику Абрахаму Вальду поручили задание – выявить наиболее уязвимые места самолетов. Изучение расположения пробоин, полученных бомбардировщиками во время выполнения боевых задач, продемонстрировало: большая часть огня противника приходится на крылья, стабилизаторы и фюзеляж. Реже попадают в кабину пилота, двигатели и топливную систему. Казалось бы, ответ на вопрос очевиден, укреплять нужно места, регулярно получающие наибольшее количество повреждений. Однако математик пошел другим путем.
Если самолет смог вернуться, значит, урон не является критическим. И укреплять нужно те части корпуса, которые остались без повреждений.
После окончания войны теория Вальда подтвердилась. В найденных сбитых самолетах были пробоины в двигателях, топливной системе или кабине пилота. С такими повреждениями бомбардировщики лететь не могли: погибал пилот, вытекало топливо или не работали двигатели.
Ситуация в сфере информационной безопасности прямо противоположна выводам Вальда. Вместо укрепления уязвимых мест, которые еще не были атакованы, руководители предпочитают совершенствовать те сегменты периметра, которые уже подвергались нападениям и устояли. В итоге, процент «живучести» не повышается, а расходы – растут.
Решение проблемы
Для понимания возможных векторов атаки и выявление слабых участков периметра безопасности необходим математический аппарат, свободный от интуиции, базирующейся на ложных или искаженных данных. Именно такими возможностями обладает Стахановец, позволяющий предиктивно и дедуктивно выявлять риски.
Система оценивает внутреннее и внешнее информационное поле, ситуацию в компании, анализирует модели работы персонала, их круг общения, средства коммуникации и способы передачи данных. На основе собранных данных руководитель получает отчет, содержащий информацию о наиболее уязвимых местах.
При этом, «уязвимым» считается не тот кусок периметра безопасности, который был атакован и успешно пережил нападение, а ключевая точка, воздействие на которую неминуемо приведет к утечке данных.
К примеру, пережив и локализировав фишинговую атаку, руководитель фиксируется на одном типе угроз и начинает вливать огромные средства в борьбу с ними. При этом реальная опасность, которой нечего противопоставить, пускает глубокие корни в компании. И пока письма проходят через 1001 фильтр, ценные данные покидают компанию благодаря инсайдеру.
Выявление и укрепление уязвимых мест, которые гарантированно не переживут злонамеренного воздействия, позволяет создать многоуровневый надежный периметр безопасности и при этом сэкономить значительную часть бюджета. Как минимум, ресурсы не придется тратить на те участки защитной стены, которые точно выдержат нападение.