Еще несколько лет назад использование ряда инновационных технологий могло казаться невозможным, но уже сегодня виртуальная реальность доступна конечному потребителю, IoT-устройства используются для контроля температуры в домах, а нейронные сети — для обработки фотографий.

Ландшафт современных угроз кибербезопасности

Согласно отчету Gartner Top Trends in the Gartner Hype Cycle for Emerging Technologies, главными трендами в области развития технологий являются:

• искусственный интеллект — везде (Deep learning, машинное обучение, умные роботы);

• дополненная реальность (4D-печать, AR, VR);

• цифровые платформы (5G, цифровые двойники, блокчейн, IoT, квантовые вычисления).

Каждая из этих сфер порождает свое множество угроз. Например, при использовании IoT-устройств могут возникать угрозы создания ботнетов, угрозы нанесения ущерба здоровью. Использование больших данных также создает новые вызовы в области кибербезопасности, такие как:

• непригодность существующих средств защиты для обеспечения безопасности данных такого объема;

• трудоемкость проверки аутентичности источников данных и контроля целостности данных;

• возрастание критичности процессов управления доступом к средам Big Data — получив нелегитимный доступ, нарушитель получает доступ к огромному массиву информации;

• возрастание рисков недоступности и потери данных.

Вектор развития технологий может говорить о следующих изменениях в области кибербезопасности:

• скорость появления новых технологий возрастает, ландшафт угроз расширяется с возрастающей скоростью, а угрозы, как и сами технологии, усложняются;

• количество атак (как и их сложность) увеличивается экспоненциально;

• количество уязвимостей не уменьшается, а напротив, растет из-за усложнения технологий и средств разработки;

• появляется тренд со стороны вендоров на обнаружение и реагирование вместо предотвращения и нейтрализации, как это было ранее.

Понятие «киберустойчивость» возникло в ответ на повышающуюся скорость появления новых технологий и киберугроз в результате эволюционного развития системы защиты информации от «непрерывности IT» к «информационной безопасности» и далее к «кибербезопасности» (рис.1). Характер угроз таков, что никто уже не может гарантировать 100%-ную защищенность — если вас еще не взломали, значит, вы просто об этом не знаете. Если раньше цель информационной безопасности была обеспечить защиту в основном превентивными мерами, то теперь цель — обнаружить атаки или их последствия как можно раньше. Сегодня организации должны уметь работать в условиях, когда бизнесу нужно быть готовым к тому, что ему заведомо будет наноситься ущерб в условиях постоянного воздействия киберугроз. Возникают задачи минимизировать последствия для бизнеса в случае возникновения инцидента, обеспечить заданный уровень функционирования и минимизировать время восстановления критичных АС и бизнес-процессов.

Формирование методологии построения киберустойчивости

Одним из первых упоминаний термина «Resilience» можно считать документ правительства Австралии «Стратегия устойчивости критической инфраструктуры» от 2010 года. Позже к этому вопросу подключились и другие организации: компании Big4 (PWC, EY), аналитические агентства (Gartner), вендоры (IBM, Symantec) и NIST, Центральный банк РФ и Европейский центральный банк. Некоторые организации (EY¹ , Gartner, NIST² ) фокусируются на создании цикла обеспечения киберустойчивости, другие предлагают достигать ее путем построения и совершенствования системы управления рисками кибербезопасности (PWC³ ).

При анализе существующей методологии следует обратить внимание на Руководство по устойчивости финансового рынка к угрозам кибербезопасности (Guidance on cyber resilience for financial market infrastructures), разработанное IOSCO (International Organization of Securities Commissions) в июне 2016 года. IOSCO в своем документе определяет киберустойчивость как способность прогнозировать, противостоять, сдерживать и восстанавливаться после кибератак. Это руководство представляет интерес по причине наиболее зрелого цикла обеспечения киберустойчивости. Он состоит из основных (идентификация, защита, обнаружение, восстановление) и поддерживающих (тестирование, ситуационная осведомленность, обучение и развитие) процессов.

Для оценки уровня зрелости киберустойчивости в организациях существуют методики от US Department of Homeland Security (Cyber Resilience Self-Assessment), US-CERT (Assessments: Cyber Resilience Review), MITRE Corporation (Cyber Resiliency Metrics), AXELOS (RESILIA).

С учетом количества приведенных выше подходов можно сделать вывод, что единая устоявшаяся методология построения киберустойчивости не сформирована. Нет и методики измерения, и оценки киберустойчивости, признанной эталоном.

Предлагаемый подход к построению киберустойчивости

Во многих организациях отдельно существуют системы управления качеством IT, управления кибербезопасностью и непрерывностью бизнеса — у всех этих систем есть общие процессы, например управление рисками, проблемами, инцидентами, обучением и повышением осведомленности. Зачастую эти процессы либо находятся в зоне ответственности разных подразделений, либо существуют параллельно и дублируют друг друга. Более того, выходы одного процесса не всегда являются входными данными для работы другого (например, статистика инцидентов кибербезопасности должна поступать на вход процесса управления рисками кибербезопасности), и процессы существуют в отрыве друг от друга. По причине отсутствия слаженного взаимодействия между этими направлениями своевременное реагирование на кросс-блочные инциденты, влияющие как на конфиденциальность, целостность, так и доступность информации, представляется затруднительным.

Решить описанные выше проблемы должна единая методология на уровне всей организации, которую предлагается построить на основе:

• Guide on cyber resilience for financial market infrastructures (за авторством IOSCO, июнь 2016 года);

• NIST Special Publication 800-160 Volume 2, Systems Security Engineering: Cyber Resiliency Considerations for the Engineering of Trustworthy Secure Systems, март 2018 года;

• Международный стандарт ISO/IEC 27001:2013 (Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования);

• Международный стандарт ISO 22301:2012 (Социальная безопасность — Системы управления непрерывностью бизнеса — Требования).

Данный подход предполагает создание кросс-блочной группы под условным названием Центр киберустойчивости. В эту группу должны входить представители подразделений, отвечающих за непрерывность бизнеса, кибербезопасность и качество IT плюс руководитель группы (рис. 2). Это позволит добиться синергетического эффекта и объединить усилия при взаимодействии различных направлений и функционировании смежных процессов за счет создания единой взаимосвязанной процессной модели, включая метрики и KPI, а также автоматизированные инструменты мониторинга, анализа эффективности и зрелости процессов.

Центр киберустойчивости должен решать следующие задачи:

• интеграция процессов непрерывности бизнеса, надежности IT и кибербезопасности в единый процесс обеспечения киберустойчивости (в том числе выявление пробелов во взаимодействии) и его документирование;

• разработка кросс-блочных сценариев реагирования на инциденты;

• проведение учений, отработка сценариев реагирования на инциденты;

• координация реагирования на инциденты, принятие решения об эскалации руководству;

• сопровождение АС сбора и управления знаниями (единая система управления инцидентами);

• разработка планов развития системы обеспечения киберустойчивости и мониторинг их выполнения.

Как организации стать киберустойчивой?

Обеспечить киберустойчивость организации можно только при высоком уровне зрелости кибербезопасности. Работы по достижению киберустойчивости следует начать с:

• поддержки концепции киберустойчивости со стороны высшего руководства — закрепление на уровне организационно-распорядительной документации организации (приказы или распоряжения);

• создания структурного подразделения по киберустойчивости;

• внедрения системы риск-менеджмента в отношении рисков кибербезопасности, непрерывности бизнеса и IT;

• разработки мероприятий по всестороннему мониторингу и обнаружению угроз, своевременному реагированию и восстановлению в случае их реализации;

• разработки системы оценки уровня зрелости и независимого аудита состояния киберустойчивости;

• непрерывного улучшения системы менеджмента в области киберустойчивости.

Наиболее универсальную методику оценки уровня зрелости киберустойчивости предлагает AXELOS — она содержит 145 вопросов из 5 доменов. При этом организация может использовать как вопросы, предлагаемые AXELOS, так и разработанные самостоятельно. Домены, по которым проводится оценка:

• модель киберустойчивости (Cyber Resilience Design);

• переход к киберустойчивости (Cyber Resilience Transition);

• операционная деятельность (Cyber Resilience Operation);

• непрерывное улучшение (Cyber Resilience Continual Improvement);

• стратегия (Cyber Resilience Strategy).

По результатам оценки может быть получен один из пяти итоговых уровней киберустойчивости: от начального (Initial) до оптимального (Optimized).

Подводя итоги, следует отметить, что для успешного функционирования в условиях постоянного воздействия киберугроз организация должна своевременно предвидеть, противостоять и восстанавливаться при наступлении инцидентов, которые затрагивают интересы всех подразделений и все бизнес-процессы организации. Внедрение системы менеджмента в области киберустойчивости позволит решить данные задачи и при этом соблюсти баланс риска и доходности от использования новых цифровых технологий и нивелировать последствия сопутствующих киберрисков.

1. EY Achieving resilience in the cyber ecosystem.
2. NIST Cybersecurity Framework (CSF) to Cyber Resilience Review (CRR) Crosswalk.
3. PWC Building a cyber resilient financial institution.