Банковское обозрение (Б.О принт, BestPractice-онлайн (40 кейсов в год) + доступ к архиву FinLegal-онлайн)
FinLegal ( FinLegal (раз в полугодие) принт и онлайн (60 кейсов в год) + доступ к архиву (БанкНадзор)
Для успешного функционирования в условиях постоянного воздействия киберугроз организация должна своевременно предвидеть, противостоять и восстанавливаться при наступлении инцидентов
Еще несколько лет назад использование ряда инновационных технологий могло казаться невозможным, но уже сегодня виртуальная реальность доступна конечному потребителю, IoT-устройства используются для контроля температуры в домах, а нейронные сети — для обработки фотографий.
Согласно отчету Gartner Top Trends in the Gartner Hype Cycle for Emerging Technologies, главными трендами в области развития технологий являются:
• искусственный интеллект — везде (Deep learning, машинное обучение, умные роботы);
• дополненная реальность (4D-печать, AR, VR);
• цифровые платформы (5G, цифровые двойники, блокчейн, IoT, квантовые вычисления).
Каждая из этих сфер порождает свое множество угроз. Например, при использовании IoT-устройств могут возникать угрозы создания ботнетов, угрозы нанесения ущерба здоровью. Использование больших данных также создает новые вызовы в области кибербезопасности, такие как:
• непригодность существующих средств защиты для обеспечения безопасности данных такого объема;
• трудоемкость проверки аутентичности источников данных и контроля целостности данных;
• возрастание критичности процессов управления доступом к средам Big Data — получив нелегитимный доступ, нарушитель получает доступ к огромному массиву информации;
• возрастание рисков недоступности и потери данных.
Вектор развития технологий может говорить о следующих изменениях в области кибербезопасности:
• скорость появления новых технологий возрастает, ландшафт угроз расширяется с возрастающей скоростью, а угрозы, как и сами технологии, усложняются;
• количество атак (как и их сложность) увеличивается экспоненциально;
• количество уязвимостей не уменьшается, а напротив, растет из-за усложнения технологий и средств разработки;
• появляется тренд со стороны вендоров на обнаружение и реагирование вместо предотвращения и нейтрализации, как это было ранее.
Понятие «киберустойчивость» возникло в ответ на повышающуюся скорость появления новых технологий и киберугроз в результате эволюционного развития системы защиты информации от «непрерывности IT» к «информационной безопасности» и далее к «кибербезопасности» (рис.1). Характер угроз таков, что никто уже не может гарантировать 100%-ную защищенность — если вас еще не взломали, значит, вы просто об этом не знаете. Если раньше цель информационной безопасности была обеспечить защиту в основном превентивными мерами, то теперь цель — обнаружить атаки или их последствия как можно раньше. Сегодня организации должны уметь работать в условиях, когда бизнесу нужно быть готовым к тому, что ему заведомо будет наноситься ущерб в условиях постоянного воздействия киберугроз. Возникают задачи минимизировать последствия для бизнеса в случае возникновения инцидента, обеспечить заданный уровень функционирования и минимизировать время восстановления критичных АС и бизнес-процессов.
Одним из первых упоминаний термина «Resilience» можно считать документ правительства Австралии «Стратегия устойчивости критической инфраструктуры» от 2010 года. Позже к этому вопросу подключились и другие организации: компании Big4 (PWC, EY), аналитические агентства (Gartner), вендоры (IBM, Symantec) и NIST, Центральный банк РФ и Европейский центральный банк. Некоторые организации (EY1 , Gartner, NIST2 ) фокусируются на создании цикла обеспечения киберустойчивости, другие предлагают достигать ее путем построения и совершенствования системы управления рисками кибербезопасности (PWC3 ).
При анализе существующей методологии следует обратить внимание на Руководство по устойчивости финансового рынка к угрозам кибербезопасности (Guidance on cyber resilience for financial market infrastructures), разработанное IOSCO (International Organization of Securities Commissions) в июне 2016 года. IOSCO в своем документе определяет киберустойчивость как способность прогнозировать, противостоять, сдерживать и восстанавливаться после кибератак. Это руководство представляет интерес по причине наиболее зрелого цикла обеспечения киберустойчивости. Он состоит из основных (идентификация, защита, обнаружение, восстановление) и поддерживающих (тестирование, ситуационная осведомленность, обучение и развитие) процессов.
Для оценки уровня зрелости киберустойчивости в организациях существуют методики от US Department of Homeland Security (Cyber Resilience Self-Assessment), US-CERT (Assessments: Cyber Resilience Review), MITRE Corporation (Cyber Resiliency Metrics), AXELOS (RESILIA).
С учетом количества приведенных выше подходов можно сделать вывод, что единая устоявшаяся методология построения киберустойчивости не сформирована. Нет и методики измерения, и оценки киберустойчивости, признанной эталоном.
Во многих организациях отдельно существуют системы управления качеством IT, управления кибербезопасностью и непрерывностью бизнеса — у всех этих систем есть общие процессы, например управление рисками, проблемами, инцидентами, обучением и повышением осведомленности. Зачастую эти процессы либо находятся в зоне ответственности разных подразделений, либо существуют параллельно и дублируют друг друга. Более того, выходы одного процесса не всегда являются входными данными для работы другого (например, статистика инцидентов кибербезопасности должна поступать на вход процесса управления рисками кибербезопасности), и процессы существуют в отрыве друг от друга. По причине отсутствия слаженного взаимодействия между этими направлениями своевременное реагирование на кросс-блочные инциденты, влияющие как на конфиденциальность, целостность, так и доступность информации, представляется затруднительным.
Решить описанные выше проблемы должна единая методология на уровне всей организации, которую предлагается построить на основе:
• Guide on cyber resilience for financial market infrastructures (за авторством IOSCO, июнь 2016 года);
• NIST Special Publication 800-160 Volume 2, Systems Security Engineering: Cyber Resiliency Considerations for the Engineering of Trustworthy Secure Systems, март 2018 года;
• Международный стандарт ISO/IEC 27001:2013 (Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования);
• Международный стандарт ISO 22301:2012 (Социальная безопасность — Системы управления непрерывностью бизнеса — Требования).
Данный подход предполагает создание кросс-блочной группы под условным названием Центр киберустойчивости. В эту группу должны входить представители подразделений, отвечающих за непрерывность бизнеса, кибербезопасность и качество IT плюс руководитель группы (рис. 2). Это позволит добиться синергетического эффекта и объединить усилия при взаимодействии различных направлений и функционировании смежных процессов за счет создания единой взаимосвязанной процессной модели, включая метрики и KPI, а также автоматизированные инструменты мониторинга, анализа эффективности и зрелости процессов.
Центр киберустойчивости должен решать следующие задачи:
• интеграция процессов непрерывности бизнеса, надежности IT и кибербезопасности в единый процесс обеспечения киберустойчивости (в том числе выявление пробелов во взаимодействии) и его документирование;
• разработка кросс-блочных сценариев реагирования на инциденты;
• проведение учений, отработка сценариев реагирования на инциденты;
• координация реагирования на инциденты, принятие решения об эскалации руководству;
• сопровождение АС сбора и управления знаниями (единая система управления инцидентами);
• разработка планов развития системы обеспечения киберустойчивости и мониторинг их выполнения.
Обеспечить киберустойчивость организации можно только при высоком уровне зрелости кибербезопасности. Работы по достижению киберустойчивости следует начать с:
• поддержки концепции киберустойчивости со стороны высшего руководства — закрепление на уровне организационно-распорядительной документации организации (приказы или распоряжения);
• создания структурного подразделения по киберустойчивости;
• внедрения системы риск-менеджмента в отношении рисков кибербезопасности, непрерывности бизнеса и IT;
• разработки мероприятий по всестороннему мониторингу и обнаружению угроз, своевременному реагированию и восстановлению в случае их реализации;
• разработки системы оценки уровня зрелости и независимого аудита состояния киберустойчивости;
• непрерывного улучшения системы менеджмента в области киберустойчивости.
Наиболее универсальную методику оценки уровня зрелости киберустойчивости предлагает AXELOS — она содержит 145 вопросов из 5 доменов. При этом организация может использовать как вопросы, предлагаемые AXELOS, так и разработанные самостоятельно. Домены, по которым проводится оценка:
• модель киберустойчивости (Cyber Resilience Design);
• переход к киберустойчивости (Cyber Resilience Transition);
• операционная деятельность (Cyber Resilience Operation);
• непрерывное улучшение (Cyber Resilience Continual Improvement);
• стратегия (Cyber Resilience Strategy).
По результатам оценки может быть получен один из пяти итоговых уровней киберустойчивости: от начального (Initial) до оптимального (Optimized).
Подводя итоги, следует отметить, что для успешного функционирования в условиях постоянного воздействия киберугроз организация должна своевременно предвидеть, противостоять и восстанавливаться при наступлении инцидентов, которые затрагивают интересы всех подразделений и все бизнес-процессы организации. Внедрение системы менеджмента в области киберустойчивости позволит решить данные задачи и при этом соблюсти баланс риска и доходности от использования новых цифровых технологий и нивелировать последствия сопутствующих киберрисков.
1. EY Achieving resilience in the cyber ecosystem.
2. NIST Cybersecurity Framework (CSF) to Cyber Resilience Review (CRR) Crosswalk.
3. PWC Building a cyber resilient financial institution.
Информационное пространство заполонил контент о колоссальных перспективах и пользе искусственного интеллекта, в том числе в финансовой сфере. Впечатляющие прогнозы, необходимость изменения стратегий и бизнес-моделей, перспективные области использования и прочие общие слова, зачастую этим же искусственным интеллектом и сгенерированные