31.5.19

Новинки нормотворчества по ИБ от Банка России (презентация)

Отчитал вчера на IT & Security Forum в Казани незапланированную программой презентацию с обзором последних новинок нормотворчества по ИБ от Банка России. Вообще эту тему я обычно читаю в течение 4-5 часов, но тут мне пришлось ужаться до 1 часа и "выбросить" тему КИИ, ПДн, СПФС, ФинЦЕРТ, ЕБС и другие.



ЗЫ. Что было особенно приятно, после выступления получил от коллег из ЦБ небольшой сувенир в виде коллекции монет СССР :-)


29.5.19

Как шифровальщик накрыл полумиллионный город

Как-то российская блогосфера и отечественные СМИ обошли вниманием интереснейшую историю, которая творится в американском Балтиморе, недалеко от которого расквартировано Агенство национальной безопасности США. Так вот 7 мая Балтимор накрыло... нет, не торнадо и не чумой, а шифровальщиком. Причем накрыло так, что весь город до сих пор стоит на ушах, так как от криптолокера по имени "Робин Гуд" (RobbinHood) пострадало большинство муниципальных информационных систем. В тот же день муниципалитет Балтимора уведомил ФБР и отключил часть свои систем, считая, что таким образом сможет остановить распространение вредоноса, который уже успел заразить голосовую и электронную почту, систему оплаты штрафов за парковку, систему оплаты счетов за воду, систему видеонаблюдения, а также оплату налогов за недвижимость. Не менее 1500 сделок с недвижимостью было остановлено. Злоумышленники требуют выкупа в размере трех биткойнов за каждую из атакованных систем или 13 биткойнов за возвращение доступа к всем системам сразу.


Какие интересные факты известны вокруг данного инцидента? Вот некоторые из них:
  1. Шифровальщик использовал EternalBlue - часть инструментария, утекшего двумя годами ранее из АНБ в результате атаки Shadow Brokers. Спустя два месяца EternalBlue использовался в рамках нашумевшего WannaCry. Иными словами, несмотря на ту шумиху, которую произвел WannaCry, администрация Балтимора так и не удосужилась устранить уязвимости, патч для которой был разработан до WannaCry за месяц. Интересно, что и многие системы обнаружения атак имеют сигнатуры для обнаружения факта использования EternalBlue, но, видимо, они также не использовались в крупнейшем городе штата Мэриленд.
  2. Вредонос начал свое победоносное распространение через фишинг, направленный на одного из служащих муниципалитета. Но был ли он целенаправленным или случайным пока неизвестно. В любом случае русских хакеров в атаке пока не обвиняли :-)
  3. За последние 7 лет 4 CIO Балтимора были уволены или ушли самостоятельно, а два до сих пор находятся под следствием (за неправомерные расходы и сексуальный харассмент). Как это знакомо, не правда ли? В России тоже многие руководители ИТ госорганов обвинены в растратах и "сидят" в ожидании приговора суда (а кто-то уже и сидит). Получается, что нормально развивать ИТ и ИБ в Балтиморе не удавалось - каждые 1,5 года начальство, определяющее путь развития города, менялось. В 2017-м году Gartner разработал для Балтимора 5-тилетний план развития, но реализовать его пока не удалось.
  4. Бюджет ИТ (включает расходы и на ИБ) составлял всего 2,5% от общего бюджета города, что вдвое ниже средних цифр американских городских бюджетов. Менеджер по ИБ на бюджетном комитете просил денег на мероприятия по ИБ, но ему было отказано. В повышении осведомленности муниципальных служащих тоже. 
  5. RobbinHood до Балтимора накрыл еще один американский город - Гринвиль в Северной Калифорнии. А всего в этом году около 20 муниципалитетов в США столкнулось с шифровальщиками (нашим бы тоже задуматься). Кстати, в 2018-м году в Балтиморе от шифровальщика уже пострадала одна из систем (служба 911). Произошло это из-за отключенных в процессе поддержки внутренних систем правил на МСЭ. Однако никаких уроков, видимо, сделано так и не было. 
  6. В прошлом году, в марте, накрыло Атланту (вредоносом SamSam) - еще один крупный город Америки. Злоумышленники требовали выкуп вдвое меньший (50 тысяч), чем в Балтиморе, а итоговая сумма восстановления всех пострадавших систем составила около 17 миллионов долларов. Кстати, в Атланте было страхование от кибератак, в отличие от Балтимора. 
  7. Про это нигде не говорится, но судя по тому, что многие системы не восстанавливаются уже три недели, а ту же почту и вовсе перенесли в облако (это рекомендовалось Gartner'ом), "забив" на восстановление, можно предположить, что резервных копий в Балтиморе не было (хотя мэр говорит, что они есть).
  8. Плана реагирования на инциденты в муниципалитет не было, что тоже удивительно. План ручного восстановления был разработан спустя две недели после начала эпидемии. Отчасти оправдать это можно тем, что в Балтиморе мэр вступил в должность за несколько дней до эпидемии RobbinHood и многие должности в администрации пустовали, что и привело к хаотическому метанию из стороны в сторону. Прежний мэр ушел в отставку из-за обвинений в растущей коррупции (тоже знакомо, да?).
  9. Интересно, что часть ИТ-инфраструктуры была размещена в облаке Amazon, но город почти и ее потерял, так как раз в начале мая завершился контракт на поддержку, который не могут продлить из-за неработающих систем оплаты счетов.
  10. Время восстановления городской ИТ-инфраструктуры, по словам нового мэра, оценивается в месяцы. Ряд систем необходимо будет перестроить заново.

Я бы мог в качестве вывода написать, что администрация Балтимора нарушила не только американские нормативные акты по ИБ, но и не выполняла вполне простые и очевидные рекомендации для борьбы с шифровальщиками, о которых говорят уже не первый год. Но из перечисленных выше фактов это вроде и так понятно. Зато из данной истории можно сделать прекрасный сценарий для киберучений. Тут есть все - исходные данные, история по нарастающей, вбросы новых фактов, неожиданные повороты... На месте руководителей отделов защиты информации наших госорганов или на месте ФСТЭК я бы взял эту историю за основу и посмотрел, насколько готовы наши чиновники к таким изгибам киберсудьбы?..

27.5.19

Новые положения Банка России: новые требования и новые вопросы

После того, как осенью прошлого года ЦБ получил новые полномочия по установлению требований по безопасности не только в рамках НПС, но и вообще для кредитных и некредитных организаций, финансовой регулятор выпустил сразу несколько новых нормативных актов:
  • 672-П - положение по защите информации в платежной системе Банка России, которое пришло на смену 552-П. Это первое положение регулятора, которое ссылается на ГОСТ 57580.1 с базовыми защитными мерами. Однако, эта ссылка, наряду с упоминанием и обязательным использованием 382-П, у меня вызвало некоторую фрустрацию. Дело в том, что ГОСТ 57580.1 построено по совершенно иной идеологии - оно разрешает самостоятельный выбор защитных мер. В отличие от 382-П, которое обязывает применять определенный набор из защитных мероприятий. Получается, что в одном документе нас отсылают на ГОСТ с самостоятельным выбором мер ИБ и на 382-П, где меры уже за нас выбраны Банком России. И какой тогда смысл было ссылаться на ГОСТ?
  • 683-П - положение по защите информации, суть и необходимость которого от меня немного ускользает, так как я не могу до конца понять его соотношение со схожим 382-П. Да, у них есть и некоторая разница, но все-таки сфера их действия достаточно сильно пересекается. Можно было бы предположить, что 683-П - это прообраз будущего нормативного акта, который заменит 382-П и в котором не будет обязательного списка защитных мер, которые уйдут в ГОСТ. Но пока 382-П продолжает действовать...

Ключевые вехи 683-П

  •  684-П - положение по защите информации для некредитных финансовых организаций. Этот документ устанавливает требования для НПФ, клиринга, репозитариев, ПИФов, депозитариев, брокеров, управляющих, регистраторов и других свои требования по защите информации в соответствие с ГОСТ 57580.1. Самое неприятное в этом нормативном акте - сертификация платежного/финансового ПО в ФСТЭК на наличие уязвимостей и НДВ (видимо, все-таки, на их отсутствие) или анализ уязвимостей по ОУД4. Боюсь, что многие финансовые организации просто не в состоянии это будут сделать до 1-го января 2020 года (осталось всего 7 месяцев). И, кстати, к какому уровню защиты относить микрофинансовые организации? В 684-П про это ни слова и возникает вопрос - они вообще должны что-то делать с точки зрения защиты или ГОСТ 57580.1 на них не распространяется? 

Ключевые вехи 684-П
В связи с этими новыми документами у меня, после их прочтения, возникло ряд вопросов:
  • ЦБ ссылается на требования ФСТЭК по сертификации на наличие уязвимостей или НДВ. Но у ФСТЭК такие требования отменены были еще до принятия документов ЦБ и заменены на уровни доверия. Какой уровень доверия должен быть у прикладного ПО по требованиям ЦБ? ЦБ обещал выпустить профиль для сертификации такого ПО, но только к концу года. Откуда разработчики платежного софта, особенно если это внутренняя разработка, как у многих, получат ДСПшные документы ФСТЭК? И будут ли испытательные лаборатории ФСТЭК заниматься такой сертификацией, если ФСТЭК регулярно говорит на мероприятиях, что они берутся за сертификацию только средств защиты информации?
  • Если пойти по пути не сертификации прикладного ПО, а анализа уязвимостей по ОУД4, то какова процедура и форма подтверждения для этого варианта? Можно ли проводить анализ защищенности самостоятельно, как это написано в 684-П, или в 683-П/672-П надо привлекать лицензиатов ФСТЭК?
  • Как (и зачем) проводить оценку соответствия одновременно по 382-П и ГОСТ 57580.2? Особенно в тех случаях, когда сроки этой оценки не совпадают. И я молчу про оценку по СТО БР ИББС, которую до сих ряд банков продолжает делать, так как формально она не отменена (как и сам СТО).
Активность созданного в прошлом году Департамента ИБ можно только приветствовать, но появляется слишком много вопросов даже по относительно "старым" требованиям. Чего уж говорить о свежих требованиях по той же ЕБС или по еще невыпущенным требованиям по финтеху (цифровому профилю, маркетплейсу, мастерчейну), СУОР и другим.

Ну а в заключение сводный слайд по все возрастающей отчетности по ИБ, объем которой только возрастает.


23.5.19

Атрибуция кибератак (презентация)

На прошлой неделе зашел в одном телеграм-канале спор о том, что такое атрибуция кибератак. Я настаивал и настаиваю на том, что атрибуция - это дисциплина, которая отвечает всего на один вопрос - "КТО стоит за кибератакой". Ничего более. Мои оппоненты исходили из идеи, что определение авторства атаки - это устаревший подход и сегодня атрибуция - это больше ответ на вопрос - "КАК осуществляется атака". То есть в "моем" случае речь идет об атрибутах автора нападения, а у оппонентов - об атрибутах самой атаки.

Я в корне не согласен с такой постановкой вопроса и на это у меня две причины. Первая заключается в том, что атрибуция как определение авторство - это общепризнанное определение. Его так понимают во всем мире и какой бы материал, книгу, презентацию мы не взяли, там так и будет рассматриваться атрибуция :-)



Вторая причина заключается в том, атрибуция - это часть более крупного процесса под названием Threat Intelligence и вся картинка будет выглядеть следующим образом:

  • определение того, ЧТО на вас напало - работа с индикаторами компрометации
  • определение того, КАК это произошло - определение тактик, техник и процедур злоумышленников
  • определение того, СЛУЧАЙНО ли это произошло или является частью целой КАМПАНИИ
  • определение того, КТО стоит за атакой и ПОЧЕМУ кто-то нас атакует.
То есть атрибуция - это всего лишь вершина Threat Intelligence, достижение которой нужно не всем и не всегда. В обычной корпоративной среде обычно хватает ответов на первые два, максимум, три вопроса.

И вот по случаю я решил выложить презентацию по атрибуции, которую я делал для прошлогодней конференции Antifraud Russia 2018. Я тогда заболел и не смог ее прочитать и поэтому кроме парочки закрытых мероприятий я ее нигде и не читал. Чего добру пропадать - выкладываю :-)




22.5.19

Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152 (презентация)

Вчера я по приглашению выступал в рамках московского GDPR Day, на котором меня коллеги из Б-152 попросили разбавить рассказы юристов о мерах по защите прав субъектов ПДн экскурсом в технические меры по защите ПДн и насколько можно совместить требования 32-й статьи GDPR и 21-го приказа ФСТЭК, разработанного во исполнение ФЗ-152. Получилась вот такая презентация:



В рамках презентации я ссылаюсь на исследование, которое проводила Cisco в ряде стран мира, включая и Россию, которое было посвящено готовности компаний к GDPR и что дает выполнение этих нормативов операторам ПДн. Это исследование мы переводили и на русский язык и выложили на сайте.

17.5.19

Выбрана тема финала "Нашей игры", интеллектуального шоу по кибербезопасности!

В конце апреля прошел полуфинал "Нашей игры", интеллектуального шоу по кибербезопасности, где у участников была возможность не только весело провести время, но и проверить свои знания и кругозор в области кибербезопасности. Учитывая, что игра проходила незадолго до дня шифровальщика (5-го мая), мы решили, что было бы правильно посвятить ее именно криптографии. Сказано - сделано! Перед вами четвертый выпуск "Нашей игры"!


Хочу напомнить, что в игре случайным образом выбирается Like-вопрос, в котором число баллов вычисляется по числу лайков, оставленных под предыдущим выпуском игры, умноженным на определенную константу. Как показывает опыт предыдущих игр, это позволяет отдельным командам вырываться вперед и вырывать победу, которая казалось была ими упущена. Вот и сейчас есть возможность лайкнуть этот выпуск и повлиять на ход игры. Хотите попробовать?

Финал "Нашей игры" состоится 10 июня! Заглавной темой станет... та-дам... "Россия"! Да-да, финальную игру этого сезона мы посвятим нашей необъятной Родине и ее отрасли кибербезопасности/информационной безопасности/защиты информации. Раз уж нашу страну обуял дух импортозамещения и киберпатриотизма, то мы решили проверить, насколько наши участники (а это три команды - Steak Holders, НеSOCрушимые и Anti-APT Group) знают историю, технологии, регуляторику, имена, продукты, инновации отечественной отрасли ИБ?! 

16.5.19

О методике ФСТЭК по поиску аппаратных уязвимостей и НДВ

На фоне обвинений Китая в закладках на уровне материнских плат, которые звучали в начале года, я прошел обучение по теме тестирования аппаратной части современных ИТ-решений на предмет поиска различных уязвимостей - от контрафакта или клонирования до закладок и временных бомб в кремнии. Это было очень познавательный тренинг, который расширил мои знания в области тестирования не только программной, но и аппаратной части средств обеспечения безопасности. Кстати, рынок такого контрафактного оборудования (включая и содержащего закладки) оценивался в 2011-м году в полторы сотни миллиардов долларов с ежегодным ростом этого значения в 25%.


Чуть позже, ФСТЭК выпустила ДСПшную методику выявления уязвимостей и недекларированных возможностей в программном обеспечении. Интересно то, что в этом документе ФСТЭК декларировала появление методики выявления уязвимостей и НДВ в аппаратном обеспечении. А вчера стало известно об обнаружении уязвимости в процессорах Intel, названной Zombieload. Это продолжении серии уязвимостей Spectre, Meltdown и Foreshadow, найденных в продукции главного производителя процессов за последнее время. Интересно, что исследования, позволившие найти данную уязвимость, длились больше года.


И вот тут у меня появилось ряд вопросов, которые я позволю себе просто озвучить в рамках данной заметки:
  1. Планирует ли регулятор разрабатывать свою методику с нуля или будет ориентироваться на уже существующие стандарты (AS6081, AS5553, AS6171 и ARP6178 от SAE G-19A, CTI CCAP-101, IDEA-STD-1010 и др.) в этой и смежных областях, например, в аэрокосмической? Они хоть и не посвящены целиком безопасности, но очень недурно описывают таксономию методов поиска.
  2. Будут ли методы поиска уязвимостей и НДВ в новом документе привязаны к уровням/классам защищаемой информации/систем? Допускаю, что да, но тут важно не требовать очень уж серьезных проверок на низких уровнях доверия (например, на 6-м). Учитывая, что таких методов существует немало, то это будет непростая задача.


  3. Будет ли методика учитывать различные типы аппаратных компонентов - цифровые (например, ASIC или FPGA, как это сделано в ряде иностранных средств защиты уже сейчас), аналоговые (например, АЦП и ЦАП или DAC и ACD в англоязычной литературе), дискретные (например, резисторы, диоды, транзисторы и т.п.)?
  4. Какие требования будут предъявляться к разработчикам средств защиты в части аппаратных компонентов? Особенно учитывая, что сегодня нет российских ИБ-производителей, которые бы изготавливали железо целиком сами. А уж использование чужих компонентов, часто из Китая или Тайваня, происходит сплошь и рядом.

  5. Как будет учитываться тот факт, что сегодня НДВ может быть внесена в процессе транспортировки готового изделия от производителя к потребителю? Или вообще быть внесена уже в процессе эксплуатации (если используется перепрограммируемые микросхемы). В этом случае процедура выявления на стороне производителя ничего не даст.
  6. Насколько увеличится цена работ по сертификации?
  7. Насколько увеличится длительность работ по сертификации? Она и сейчас не очень маленькая и часто срок сертификации превышает срок жизни конкретной версии оцениваемого ПО. А уж при наличии нового документа ситуации и вовсе станет аховой.
  8. Наличие оборудования для проведения соответствующих работ; особенно сертифицированного по требованиям регулятора. Во-первых, оно очень дорогое для определенного типа проверок. А, во-вторых, оно не выпускается в России.

  9. Будут ли выставлены требования по компетенциям сотрудникам испытательных лабораторий? Если да, то где им проходить обучение? А если нет, то не превратится ли процесс оценки в профанацию?
  10. Как ФСТЭК будет проверять качество проводимых работ и есть ли у самого регулятора соответствующие специалисты? 
  11. Что делать, если у ИЛ или регулятора появятся вопросы к используемым аппаратным компонентам? Недавно один из российских производителей МСЭ поделился своей болью. Для выполнения одного из пунктов методики проверки МСЭ по новым требованиям ФСТЭК, им потребовалось поменять ряд ранее используемых аппаратных модулей, из-за чего стоимость возросла в разы. И, конечно же, эти затраты будут возложены на плечи заказчиков, большая часть из которых относится к государственных органам, которые обязаны будут применять только сертифицированные средства защиты.
  12. Будут ли признаваться результаты СИ/СП, проводимых по линии ФСБ, для тех решений, которые подаются на сертификацию еще и в ФСТЭК?
  13. Готова ли ФСТЭК к существенному изменению правил игры, которые даже многие отечественные вендоры не смогут соблюдать?
Вот такая чертова дюжина вопросов к еще неразработанному документу регулятора. Вполне допускаю, что у регулятора уже есть на них ответы. Но, вспоминая песню Слепакова, "а чё, мля, если нет?" 

А напоследок вам задачка, какие из представленных ниже семплов могут представлять угрозу?

ЗЫ. В рамках упомянутого выше тренинга нам рассказывали о применении нейросетей для выявления несущих угрозу аппаратных компонентов, что в очередной раз показало очень интересные варианты применения машинного обучения в кибербезопасности. Но пока не в России.

14.5.19

Концепция "низковисящих фруктов" и кибербезопасность

Между майскими праздниками Verizon выпустила новую версию своего отчета 2019 Data Breach Investigations Report, который давно уже перестал быть отчетом только одной компании, - в работе над ним принимают участие многие игроки рынка ИБ, среди которых Cisco, Shodan, CERT EU, JPCERT, ФБР, Секретная служба США и т.п. Из "россиян" в подготовке отчета участвовала только Лаборатория Касперского.

Я не планирую пересказывать этот отчет, но хочу остановиться на одном из моментов, который мне показался достаточно важным. Сегодня много говорят о многоходовых, сложных, целевых, скрытных, многовекторных атаках (APT). Оно и понятно. Это интересно с точки зрения расследования. Это интересно для СМИ. Но жизнь (в лице отчета DBIR) говорит о том, что большинство атак являются достаточно простыми в реализации.

В бизнесе есть такая часто применяемая концепция "низковисящих фруктов", которая означает получение быстрой выгоды прямо сейчас (сорвать то, что ближе всего). Зачем делать что-то очень долго и без видимого результата, когда можно сорвать куш гораздо быстрее? Тоже самое приходит в голову и злоумышленникам, которые не хотят долго кого-то ломать, а предпочитают быстрые и легкие победы. Ровно это и показывает отчет 2019 DBIR, который показывает, что большая часть всех подтвержденных взломов осуществляется всего в один-два шага.


И чем больше шагов делает злоумышленник, тем ниже вероятность успеха (ну тут вроде понятно - при большем числе шагов повышается вероятность обнаружения).


Понятно, что целевые атаки существуют, но их число не так высоко даже у хакеров на службе государства, которые также стараются получить максимум, затратив минимум усилий.

С точки зрения стратегии безопасности концепция низковисящих фруктов также применима - нам не обязательно внедрять сразу кучу различных навороченных защитных технологий, которые стоят недешево (тем более, что 43% жертв - это малый бизнес). Достаточно начать с базовых вещей, которые описаны в таких лучших практиках как Top20 CIS Controls, Top 4/8 австралийского МинОбороны, Топ10 английского или канадского регулятора по ИБ. Обо всех них я уже говорил на прошлой РусКрипто в полуторачасовой презентации. Что характерно, эти основные меры не требуют особых затрат на реализацию. Австралийский Топ 4 включает в себя application whitelisting (замкнутая программная среда), обновления приложений и ОС, а также контроль привилегированного доступа. Все это можно реализовать с помощью групповых политик и Windows Update Service (для Windows). По оценкам одна только эта четверка обеспечивает защиту от 85% угроз.

В заключение все-таки приведу несколько интересных тенденций, упомянутых в отчете 2019 DBIR:

  • Существенно возросло число атак типа "социальный инжиниринг" (через фишинг), а человек - стал одной из популярных мишеней для злоумышленников.
  • Одним из основных способов, которые используют злоумышленники для своего первого шага (а иногда и единственного) - использование украденных учетных записей пользователей.
  • Один из основных векторов атак - Web-приложения.
  • Электронная почта остается основным вектором для получения вредоносного кода (94%). Исключение составляет сфера образования, где на первое место вышел Web-вектор заражения.
  • По-прежнему самым популярным типом файлов для вредоносного ПО является MS Office.
  • Одной из самых быстрорастущих причин успеха злоумышленников становится некорректная конфигурация серверов (особое внимание злоумышленники уделяют почтовым серверам) и пользовательских устройств.
  • Обнаружение инцидентов по-прежнему занимает месяцы в то время как на компрометацию у злоумышленников уходят минуты, а на кражу данных - от минут до дней.
В целом могу порекомендовать ознакомиться с отчетом Verizon. И пусть вас не смущает, что отчет подготовлен американским оператором связи. В подготовке участвовали компании со всего мира, включая и российскую. Поэтому можно говорить о том, что отчет отражает общую для всех картину.

13.5.19

Ответьте на вопрос: "что такое информационная безопасность", не подглядывая в блог

Мой блог читают специалисты по кибербезопасности, которые занимаются этой деятельностью уже не первый год (хотя кто-то и первый). В любом случае, каждый из тех, кто сейчас читает эти строки должен знать, чем он занимается. Так вот, попробуйте, ответить на вопрос: "что такое информационная (или кибер) безопасность?" Попробуйте ответить на этот вопрос (а лучше записать), прежде чем смотреть заметку дальше.


Я на курсах по моделированию угроз и измерению эффективности ИБ всегда начинаю с того, что советую определиться с тем, что каждый слушатель вкладывает в термин "информационная безопасность", так как от этого будет зависеть и какие угрозы мы будем рассматривать (и бороться с ними), и эффективность чего мы будем измерять. И надо признать, что у всех это определение разное. 8 лет назад я уже поднимал в блоге этот вопрос, но решил вновь вернуться к нему. Тем более, что и повод есть - недавно в англоязычном Твиттер я наткнулся на интересную дискуссию о том, что же такое безопасность. Топикстартер задал своим подписчикам этот вопрос и получил несколько десятков ответов. Я многие из них перевел и привожу ниже:
  • Безопасность - это постоянная оценка рисков и принятие или смягчение этих рисков. Это осознание того, что процесс никогда не закончится, что вы никогда не сможете быть полностью защищены от всех угроз, и что вам нужен план реагирования на сбои.
  • Безопасность - это процесс поддержания приемлемого уровня предполагаемого риска для конкретного события.
  • Безопасность - это процесс, а не конечное состояние.
  • ИБ - действия, направленные на защиту информации.
  • ИБ - это сочетание защиты и снижение беспокойства (комфорт).
  • Гарантия того, что актив защищен в степени, необходимой для снижения риска эксплуатации уязвимости до уровня, приемлемого для владельца актива.
  • Это видимость критически важных для бизнеса людей, процессов и технологий, с четкой способностью предотвращать или быстро реагировать на угрозы, как внутренние так и внешние, которые угрожают способности предоставлять ценность как компания.
  • Это все, что вам нужно, чтобы защитить себя и все, что вы цените, от того, что может причинить вам вред или привести к потерям.
  • Защита ключевых бизнес-операций для обеспечения прибыльности организации.
  • Состояние свободы от опасности или страха.
  • Это уменьшение, минимизация или устранение вероятности того, что угроза будет использовать уязвимость и повлияет на критичные активы.
  • Это состояние защиты компьютеров и данных от вреда.
  • Защита ваших интересов за пределами возможностей, пороговые значения рентабельности или устойчивости к риску ваших потенциальных злоумышленников.
  • Разумная защиты от актуальных угроз.
  • Практика минимизация беспокойства о системе или продукте.
  • Цикличный процесс идентификации, достижения и поддержания состояния.
  • Это состояние в котором, контроль, целостность, автономность и эволюция поддерживаются несмотря на внешнюю неопределенность окружающей среды.
  • Минимизация рисков, позволяющая нормально функционировать предприятиям и гражданам.
  • Процесс защиты критичных активов предприятия, позволяющий предприятию использовать функции этих активов для достижения своих целей.
  • Поддержание способности системы надежно выполнять предназначенную функцию, несмотря на разумный набор ошибок или помех со стороны нарушителей.
  • Практика защиты информации в структурированном и неструктурированном виде.
  • Это внимание, которое уделяется обеспечению доступности, используемости и сохранности данных надлежащим образом.
  • Обнаружение, предотвращение и реагирование на злоупотребления до приемлемого уровня риска.
  • Это когда частное преимуществ и стоимости от безопасности больше 1.
  • Состояние убежденности (которое может быть и ложным), которое было определено и разумно подготовлено к большим и наиболее вероятным угрозам текущему состоянию или любым его изменениям, которые могут произойти.
  • Это управление рисками.
  • Это предотвращение потерь.
  • Достижение баланса между целостностью, конфиденциальностью и доступностью в условиях постоянно меняющегося ландшафта рисков.
  • Это практика сочетания функциональности с конфиденциальностью.
  • Обеспечение доверия.
  • Минимизация рисков при максимизации ценности и работоспособности функции.
  • Действия, предпринятие для создания комфортного состояния, обеспечивающего нормальное функционирование.
  • Совокупность процессов и практик, предназначенных для защиты активов от атак, ущерба или неавторизованного доступа.
  • Непрерывный процесс оценки рисков.
  • Процессы предотвращения угроз и реагирования на них для минимизация риска компрометации данных.
  • Знание того, что для вас важно и сохранение его там. где вы хотите, тогда, когда вы хотите, и так, как вы этого хотите.
  • Достижение состояния, когда усилия по вторжению обходятся дороже прибыли от вторжения.
  • Сбалансированность использования ресурсов для снижения рисков, в то же время позволяя бизнесу выполнять желаемые функции, необходимые для продолжения работы, не препятствуя введенным мерам смягчения рисков.
  • Бесконечная битва с непредвиденными последствиями.
  • Меры безопасности, принимаемые для активного обнаружения и предотвращения совершения людьми плохих действий, а также процессы поддержания этих мер безопасности функциональными, актуальными и релевантными.
  • Борьба с максимальным ущербом минимальными усилиями, приводящими к максимально возможному благу.
  • Способность обнаруживать и сдерживать угрозы в допустимых пределах потерь для организации.
Можно еще накидать и ряд отечественных определений, которые мне встречались в разных документах и материалах:
  • Отсутствие опасности.
  • Состояние, при котором не угрожает опасность.
  • Состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз.
  • Деятельность, направленная на предотвращение или существенное затруднение несанкционированного доступа к информации (или воздействия на информацию).
  • Технологическая задача, обеспечивающая целостность, конфиденциальность и доступность.
  • Состояние защищенности объекта от внешних и внутренних угроз.
  • Системное свойство, позволяющее развиваться и процветать в условиях конфликтов, неопределенности и рисков на основе самоорганизации и управления.
  • Деятельность людей, общества, государства по выявлению, предупреждению, ослаблению, устранению и отражению опасностей и угроз, способных погубить их, лишить ценностей, нанести неприемлемый ущерб, закрыть путь для выживания и развития.
  • Динамическое состояние сохранения жизненно важных параметров предприятия в информационной сфере.
  • Состояние защищенности интересов стейкхолдеров предприятия в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества, государства и бизнеса.
Интересный список, не так ли? А как вы определяете термин "информационная безопасность"?..

8.5.19

Второе наблюдение на СВОП: Китай нам не товарищ, но и автаркия - не вариант

Еще одним наблюдением, которое я сделал на заседании Совета по оборонной и внешней политике, стало отношение к Китаю. Оно не такое дружественное, как кажется иногда на фоне антиамериканской риторики, звучащей на различных уровнях. Как оказалось, среди людей, принимающих политические решения, есть четкое понимание, что Китай - нам не товарищ, а временный партнер. Более того, у Китая свой путь развития, совершенно несвязанный с Россией. Просто нам|ему пока по пути, но долго так продолжаться не может. И хотя мы худо-бедно можем встраиваться в китайскую модель развития, власти понимают, что Китай - это тот же технологический крючок, что и Америка, только хуже. Если американские продукты Россия закупает за реальные деньги, то Китай действует тоньше - он открывает кредитную линию в рамках которой государство может покупать нужные технологии, но обязательно китайские. Таким образом Китай авансирует государство (и такая схема применяется не только в России), а потом начинает спрашивать: "Где деньги?" А денег-то на оплату полученных решений нет. И Китай либо начинает забирать за долги природные ресурсы, либо окончательно подсаживает на удочку государство, которое уже не может слезть с технологической иглы. Американцы в этом плане действуют грубее, но понятнее - "утром деньги, вечером стулья".

При этом на СВОП высокопоставленные эксперты неоднократно подтверждали, что в мире всего два центра технологической силы - США и Китай. Россия временно должна "прислониться" к одному из них, но взвешивая все "за" и "против". Так как США уже не могут рассматриваться как надежный технологический партнер, то пока остается единственная альтернатива в лице Китая, но... решение о том, что Россия прислоняется к восточному партнеру тоже не принято, так как никто не хочет подсаживаться на гораздо более опасную удочку, чем у американцев. Отсюда некоторые метания и заигрывания с разными сторонами... И отсутствие четкого технологического курса.

Параллельно же метаниям, Россия должна развивать свой технологический стек. Это звучало неоднократно, но совершенно без конкретики. Оно и понятно - люди, заседающие в СВОП, далеки от технологий и относятся к ним с подозрением (особенно к американским). При этом чиновники самого высокого ранга делали зачастую противоречащие друг другу заявления. Сначала один член СВОП говорит о том, что "нам нужно все свое", а спустя несколько минут он же заявляет о том, что "нам не нужна автаркия".

К слову об автаркии. Это экономическая политика, замкнутая целиком на себя, с отсутствием внешних экономических связей. Целиком и полностью суверенная экономика. В мире было несколько примеров стран, которые в определенные моменты своей истории стремились стать автаркиями (тот же СССР во времена противостояния с США или Германия, Италия и Япония во время Второй мировой войны). Сегодня абсолютное большинство экспертов признают, что полная автаркия невозможна и даже такая изолированная от внешнего мира страна как Северная Корея не является автаркичной, активно развивая внешние торговые связи. Другое наблюдение экспертов - автаркия обычно означает, что государство готовится к войне и стремится снизить риски от внешних поставок. При этом, и тут мнение почти единогласное, автаркия означает отсталость государства ее принявшего в экономическом и, что важнее в контексте нашей тематики, технологическом плане.

Ким Ир Сен в 1994-м году отринул идеи чучхе и автаркии
Если вспомнить те маргинальные высказывания, которые я приводил вчера, то может сложиться впечатление, что Россия все-таки готовится к войне и поэтому ее автаркичные технологические планы укладываются в общую картину (кстати, блоки типа БРИКС или ЕАЭС тоже могут рассматриваться как прототип автаркии). Но были и другие заявления, говорящие об обратном. В итоге, спустя 5 лет после введения санкций и начала жизни в новом режиме, в России так и не сформулирована технологическая стратегия развития, которая все время уступает место либо совсем сиюминутным задачам типа "суверенного Рунета", либо распилочным проектам типа "цифровой экономики", либо наращиванию военного потенциала. А воз и ныне там...

Подводя итог двум заметкам хочу сказать, что для меня заседание Совета по оборонной и внешней политике оказалось достаточно интересным и познавательным. Я стал чуть лучше понимать причины принятия тех или иных инициатив или нормативных актов. Мне стало понятнее, почему ФСТЭК ведет себя именно так, а не иначе (правда, понять не значит принять).  Я в очередной раз убедился в правильности высказанной несколько лет назад мысли о том, что пока не сменится одно или два поколения лиц, стоящих у руля в стране, ни в ИБ, ни в более широком, технологическом плане, у нас ничего не изменится. А значит продолжаем жить и надеяться на лучшее :-) 

7.5.19

Когнитивные искажения и их влияние на национальную кибербезопасность

Довелось мне тут побывать на заседании Совета по внешней и оборонной политике, неправительственного общественного объединения, задачей которого является содействие выработке и реализации стратегических концепций развития России, ее внешней и оборонной политике. На фоне членов СВОП, среди которых бывшие и действующие министры, члены Парламента, представители силовых и правоохранительных органов, я выглядел некоей белой вороной, но задача перед мной стояла важная - рассказать о новых вызовах и угрозах, которые несет с собой киберпространство.


Учитывая, возраст многих членов СВОП, их образование и формирование их мировозрения, задача перед мной стояла очень непростая и я, надо признаться, не уверен, что справился. Хотя я старался не углубляться в дебри ИБ и рассказывал достаточно понятным языком о возможностях вывода из строя кардиостимуляторов или инсулиновых помп (а многие члены СВОП уже в том возрасте, когда такие медицинские приборы выходят из статуса "да ну нафиг" или "о, прикольно" в "пожалуй, стоит почитать подробнее" или "дайте вон тот, пожалуйста"), останова двигателя автомобилей на ходу (а многие члены СВОП приехали в загородный дом отдыха на Рублевке на дорогих авто, оснащенных навороченной электроникой, и попадавших в сводки новостей о найденных в них уязвимостях), об искусственном интеллекте, критической инфраструктуре и т.п.


Но несмотря на некий пессимизм в отношении своего выступления, я получил представление о том, какие мысли витают в среде людей, если не непосредственно определяющих, то влияющих на оборонную и внешнюю политику страны. Местами эти мысли были совсем уж маргинальными и пугающими. Вот только несколько высказываний, которые мне запомнились на заседании СВОП (публикуются согласно "правилу Chatham House", то есть без упоминания их авторства, что способствует откровенности обсуждений и мнений):
  • Важен не мир, а борьба за мир!
  • Надо готовиться к войне. Нужен мобилизационный план.
  • Что мы будем делать с Европой, когда ее завоюем?
  • Одряхлевшие ПАСЕ, ОБСЕ и прочая ахинея.
  • Невозможно заключить международный договор в области кибербезопасности, так как нельзя его контролировать.
  • Отсидеться не удастся!
  • Надо показать агрессору, что его действия могут иметь последствия!
  • Надо поддерживать не только Саманту Смит, но и боевиков ИРА и другие группы, расшатывающие наших врагов!

Достаточно воинствующая риторика и почти вся она крутилась вокруг нашего ядерного потенциала и обычных вооружений. Тих был голос сторонников гибридных войн, которые высказывались за то, что будущие войны могут быть не только сплошь и рядом наполненными ядерными залпами и наступлениями танковых дивизий, авианосцев и диверсионных групп, действующих в тылу противника. Слово "кибербезопасность", помимо моего доклада, в течение трехчасового заседания, посвященного новым угрозам, прозвучало только два раза. Отсюда мое первое наблюдение, которое, впрочем, я уже высказывал не раз и даже вставил в курс по моделированию угроз (в раздел по психологии восприятия рисков):

Текущее и, возможно, следующее поколение политиков и иных власть предержащих, неспособно адекватно оценивать угрозы кибербезопасности.

Связано это с так называемыми когнитивными искажениями, которые влияют на способность человека оценивать риски; особенно риски будущие. Это связано с ошибками, которые допускают люди почти независимо от их возраста, пола, расовой принадлежности и, даже, профессиональных компетенций и навыков. Парадоксально, но даже высококлассные специалисты в своих областях допускают типичные ошибки, как раз и изучаемые в когнитивной психологии (интересно, что даже если человеку указать на его ошибки, то это не всегда кардинально поменяет мнение человека и его позицию). Вот только несколько выводов, которые делает когнитивная психология и которые важны для понимания того, почему многие чиновники, военные, члены СВОП и Совета Безопасности, руководители ФСБ и других связанных с ИБ структур недооценивают риски кибербезопасности и часто принимают неверные решения (а их статус не всегда позволяет подчиненным указывать на их ошибки):
  • Человек не экстраполирует опыт пережитых малых опасностей на более серьезные риски. Иными словами, даже столкнувшийся с шифровальщиком на своем домашнем компьютере человек, не рассматривает этот риск в масштабе целой компании или даже страны. Даже наоборот. Прошлый опыт малых опасностей (например, кража тысячи рублей со счета в мобильном банке) задает верхнюю границу ожидаемого максимального риска. Привычка бороться с мелкими неприятностями приводит к тому, что мы не предпринимаем ничего для борьбы с неприятностями более крупными. У власть имущих же ситуация еще хуже - они вообще редко сталкиваются с киберрисками, так как часто даже не имеют компьютеров (вспомните, что наш Верховный Главнокомандующий пользуется блокнотом для записей и читает всегда по бумаге с рукописным текстом). Не сталкиваясь с какими-то рисками, человек не способен и оценивать их адекватно.
  • Человек не готов к "черным лебедям". Я про них уже как-то писал, но стоит вновь к ним вернуться и в контексте заседания СВОП. Человек с трудом может оценивать редкие, но очень масштабные события. А в совокупности с предыдущим когнитивным искажением ситуация становится еще хуже. Можем ли мы оценить риск того, что Stuxnet сидит в данный момент на всех российских АЭС и в определенный момент сработает? Опираться на статистику при оценке "черных лебедей" мы не можем - ее просто нет. Ждать, когда такое событие произойдет и тогда кричать "ну я же говорил" или "это можно было предсказать"? Самое интересное, что это действительно можно предсказать (если не точную дату, мы же не Нострадамусы, то сам факт). Достаточно вспомнить Аль-Каиду и события 11 сентября. Ведь пост-фактум потом приводились доказательства того, что террористы готовились к такому сценарию, но его по каким-то причинам отмели как маловероятный. Сейчас известно, что террористы собирают сведения и о возможности проведения серьезных кибератак. Но готовится ли к ним кто-то всерьез (ФЗ-187 я за такую попытку не считаю)? Правда Талеб, который и ввел в обиход термин "черный лебедь", считает, что мотивировать людей заниматься предотвращением "черных лебедей" очень сложно. "Защита с трудом воспринимается, измеряется и вознаграждается; это обычно незаметный и неблагодарный труд. Представьте себе, что некая дорогостоящая мера была предпринята, чтобы предотвратить такое явление. Легко вычислить стоимость этих мер, тогда как результат трудно измерим. Как мы можем говорить об эффективности, когда есть два альтернативных варианта объяснения: или принятые меры были эффективны, или просто ничего существенного не случилось. Оценка качества работы в таких случаях не просто сложна, но искажена наблюдением «актов героизма»... В исторических книгах не пишут о героических превентивных мерах". 
  • Как вы думаете, какое из двух утверждений более вероятное: "В чипах, выпускаемых американскими компаниями, могут быть закладки, с которыми нужно бороться" или "В выпускаемых чипах могут быть закладки, с которыми нужно бороться"? Я на нескольких мероприятиях проводил мини-опросы и получил достаточно забавные результаты. С точки зрения теории вероятностей добавление дополнительной детали к первому утверждению делает его менее вероятным, чем второе. Ведь действительно, первое утверждение является подмножеством второго. Но почему-то большинство людей считает второе утверждение менее вероятным, чем первое :-) Ровно также думают и на самом верху, считая, что надо направлять инвестиции на суженый сценарий возможных рисков. Если вдруг мы поругаемся с Китаем, то сценарий придется расширять, добавляя в него уже китайских производителей. Потом, возможно, индийских или израильских. Но своих разработчиков мы включим в сценарий риска в последний момент; если вообще включим. Хотя с точки зрения безопасности правильнее бороться с закладками в чипах независимо от их происхождения.
  • Людям свойственно когнитивное искажение несогласия, то есть люди предпочитают подтверждающие, а не опровергающие доказательства той или иной гипотезы. И доказательства версии, которая опровергает позицию человека, подвергаются более пристальному анализу, чем доказательства, которые ее подтверждают. Например, мы знаем, что между Россией (а ранее СССР) и Северной Америкой существовало и существует соперничество во многих сферах. В области же безопасности США всегда рассматривались как потенциальный враг для нашей страны. И когда в конце 90-х годов в России обдумывали вариант с признанием "Общих критериев" в качестве системы оценки соответствия по требованиям безопасности продуктов информационных технологий, эксперты в Совете Безопасности исходили из предпосылки, что "Общие критерии" несут с собой не только пользу, но и вред. Сторонники этого стандарта пытались доказать, что от него одна только польза, но так как это противоречило изначальной гипотезе, то эксперты Совета Безопасности фокусировались на поисках того вреда, с которым столкнется Россия, принявшая этот стандарт за основу. И, кстати, мы гораздо реже меняем свои суждения, чем мы обычно думаем. Если ты вырос во времена холодной войны, служил в спецслужбах или Вооруженных силах, готовясь к войне с НАТО (США), то сложно ожидать, что заседая в Совете Безопасности или СВОП, ты изменишь свою позицию, которую в тебя вбивали годами и десятилетиями.
  • Многие слышал термин "аффект", когда говорят о совершении какого-то преступления, когда человек, его совершивший, не соображает, что он делает. Так вот такая эмоциональная окраска имеет место и при оценке новых технологий или будущих угроз, о которых человек имеет мало информации. Например, с чем ассоциируется у большинства искусственный интеллект? В массе своей с Скайнет из "Терминатора", то есть окрас у данной технологии изначально негативный. А виртуальная реальность? Наоборот. Фантастические фильмы типа "Газонокосильщика" и вот у человека уже положительная оценка технологии, которую он сам может никогда и не пробовал в жизни, но именно от его решения зависит ее будущее. То есть очень часто анализ рисков осуществляется не на основе фактов, а на основе эмоций. А потом вступает в силу когнитивное искажение несогласия и нежелание менять первоначально сформированную точку зрения.
  • От хакерской атаки на систему жизнеобеспечения в госпитале погиб ребенок! У вас перед глазами встает соответствующая картина и вы переживаете это событие очень эмоционально. А теперь представьте, что от хакерской атаки погиб целый город с многомиллионным населением... Изменились ли ваши чувства? Стали ли они сильнее в миллионы раз? Врядли. Наш мозг не способен масштабировать наши эмоции и наше восприятие. Для нас риск гибели десяти человек и миллиона человек почти равнозначны (на самом деле риск гибели миллиона человек для нас практически равен нулю, так как мы не осознаем это число и мы не сталкивались в прошлом с такими событиями). Отсюда и следствие - мы не готовы тратить ресурсы пропорционально количеству потенциальных жертв. Потратив миллион рублей на кибербезопасность больницы (как субъекта КИИ) и спасши тем самым десять жизней, мы не готовы потратить сто миллиардов рублей на спасение даже миллиона человек. Для человеческого мозга это все лишь увеличение числа смертей путем приписывания шести ноликов к числу 10.
  • В 1982-м году Сара Лихтенштейн изучила несколько десятков экспериментов, проведенных десятками различных исследователей, и сделала очень интересный вывод о том, что люди сверхуверены в себе и своих оценках (даже эксперты в своих областях) и поэтому при оценке рисков постоянно дают неправильные границы для тех или иных событий, явлений, процессов или объектов. Они сужают границы и не считают нужным пересматривать их, опираясь в дальнейшем на неверные предпосылки.

Я привел небольшой обзор когнитивных искажений, которые допускают люди, которым по должности или позиции в обществе положено оценивать те или иные риски. Именно эти люди часто недооценивают риски кибербезопасности и тому есть множество причин. Они могут быть  сверхуверенны в себе. Они могут переоценивать предсказуемость прошлого и поэтому недооценивать риски будущего. Они могут быть зациклены на одних рисках (например, ядерный удар или бактереологическое оружение) и совершенно недооценивать другие. Они могут не помнить случаев массового ущерба от кибернападений и поэтому считать их несущественными и в будущем. Их мнение может быть искажено фильмами о добрых хакерах, спасающих мир от проделок злых людей и плохих корпораций (вспомните фильм "Хакеры"). Да мало ли психологических искажений, почему люди, заседающие в Совете по оборонной и внешней политике или Совете Безопасности или Аналитическом центре при Президенте РФ или в ФСБ могут принимать неверные решения относительно рисков кибербезопасности. Главное, что люди скорее всего не осведомлены о когнитивной психологии и о том, почему и как они принимают решения в условиях отсутствия хоть какой-либо значимой статистики по киберрискам. И решить эту проблему можно не столько путем включения в эти советы экспертов по кибербезопасности (они там есть, на самом деле, но очень уж однобокие, на мой взгляд), сколько включением специалистов по когнитивной психологии.

Кстати, если спуститься с высот национальной безопасности на грешную землю, то ровно те же самые проблемы существуют и в более приближенных к нам направлениях деятельности специалиста по кибербезопасности. Например, при моделировании угроз. Мы недооцениваем одни опасности и переоцениваем другие. В условиях отсутствия адекватной статистики (или ее быстрого устаревания) мы опираемся на собственные суждения и попадаем в описанные выше ловушки когнитивных искажений, что и приводит к тому, что мы постоянно сталкиваемся с успешными атаками хакеров на наши активы.


ЗЫ. Кому интересно погрузиться в тему когнитивной психологии, могу порекомендовать книгу Канемана "Думай медленно... Решай быстро" (переведена на русский язык), книгу Канемана, Словика и Тверски "Принятие решений в неопределенности", а также статьи Элиезера Юдковского (вообще он специализируется на ИИ, но немало посвятил и когнитивным искажениям).

6.5.19

Оценка ущерба от инцидентов ИБ (возможный подход)

На ряде последних мероприятий по ИБ, в процессе общения с коллегами, я неоднократно слышал лестные отзывы о том, что ФСТЭК обещала подготовить и опубликовать до конца года методички по моделированию угроз для КИИ и по оценке ущерба для них же. А что же вы сейчас делаете, - спрашивал я у коллег. А мы ждем! Вдруг сделаем неправильно и ФСТЭК нас за это накажет в соответствие с планируемым штрафом по КоАП?! Очень интересная позиция, которая показывает, что мы никак не уйдем от этого идолопоклонства перед регулятором и надежду на то, что он-то уж лучше знает, как оценивать угрозы и ущерб для бизнеса, которым регулятор никогда не занимался.

И это при том, что у многих компаний, являющихся субъектами КИИ, уже проведены мероприятию по оценке рисков и разработаны примерно вот такие карты негативных бизнес-событий с экспертной оценкой их вероятности и размера последствий.


В анализе "кибернетических рисков", как иногда говорят чиновники и другие далекие от ИБ персонажи, они применяются давно и в целом безуспешно, разве что позволяя хоть как-то приоритезировать усилия по управлению ими. Правда, в условиях попытки оценивать вероятность будущих событий в непрерывно изменяющемся мире и технологий и угроз, выглядит это достаточно странно. Вчера у вас атак на блокчейн не было, сегодня тоже нет, значит ли это, что и завтра их не будет?


Ну да ладно. Фиг с ней, с вероятностью. Пусть будет экспертная оценка. Попробуем разобраться с ущербом. Вроде как умные люди на разных мероприятиях говорят, что с бизнесом надо говорить на языке бизнеса, а он понимает только язык денег. Поэтому ущерб надо считать в деньгах.


И вот тут наступает ступор. Причем не только у безопасников, но и у самого бизнеса, который далеко не все и не всегда считает именно "рублем" (не зря же в свое время придумали систему сбалансированных показателей), а безопасники с него требуют оценки именно финансовой. Но это не всегда и нужно. Если вернуться к набившему оскомину совету "говорите с бизнесом на его языке", то мы должны вспомнить, что бизнес - это операции, в результате которых субъект КИИ получает прибыль (ну или наращивает выручку, или увеличивает долю рынка). Соответственно нарушение этих операций влияет на бизнес-показатели организации и должно быть нейтрализовано. Или застраховано, или принято, если нарушение несущественно. Вот влияние киберугроз на бизнес-операции и должны быть оценено. Именно на бизнес-операции, а не вообще на то, что может быть измерено. А что может относиться к измеримым и универсальным показателям бизнес-операции? Изменение стоимости чего-то или количества чего-то (не забывая про время, которое влияет на оба показателя). Вот их-то мы и оцениваем при измерении ущерба. Например, вот ряд "универсальных" метрик при оценки ущерба (они могут встретиться почти в любой компании).


Само собой, могут быть и специфические метрики. Например, в рамках генерации электроэнергии может применяться вот такой показатель. За ним, безусловно, может стоять какой-нибудь инцидент ИБ, который и приводит к снижению генерируемых мощностей. А может и не стоять, что чаще всего и бывает. И тогда такой инцидент врядли заинтересует бизнес и уж точно, объект, на котором такой инцидент произойдет врядли будет считаться значимым.


Но иногда бизнес обращается внимание не только на показатели бизнес-операций. Например, в одной крупной отечественной финансовой организации председатель правления оценивает инциденты ИБ (именно он - ниже применяется более привычная классификация) по PR-масштабу. Попали сведения об инциденте в прессу - инцидент важный (даже если на бизнес-операции он напрямую никак не повлиял - а гудвил или репутационный ущерб у нас считать как-то непринято); не попали - неважный. Поэтому для таких инцидентов может потребоваться своя градация ущерба - от несущественного до катастрофического).


Разумеется, часть из описанных метрик являются результатом сложения метрик более детальных, получаемых в рамках декомпозиции. Например, тот же финансовый ущерб может складываться из следующих параметров:
  • стоимость прямых потерь от нарушения бизнес-операций
  • стоимость восстановления бизнес-операций
  • снижение стоимости акций (стрёмный показатель, но иногда тоже поддается измерению)
  • размер штрафов
  • упущенная выгода (если вы можете ее посчитать)
  • снижение лояльности заказчиков
  • замена оборудования или повторный ввод информации
  • взаимодействие с пострадавшими заказчиками
  • и т.д.
Подводя итог, хочется еще раз сформулировать ключевые области, которые стоит брать во внимание во время оценки ущерба от возможных инцидентов ИБ:
  • Что остановит или замедлит операции в вашей организации (что характерно, это применимо не только к коммерческим предприятиям, но и к государственным)?
  • Что приведет к снижению прибыли / выручки / маржинальности / доли рынка вашей компании?
  • Что приведет к снижению качества предоставляемого продукта / услуги?
  • Что приведет к негативному влиянию на цель компании / бизнес-подразделения / бизнес-проекта / executive sponsor?
А все остальное мы отбрасываем за ненадобностью, так как оно не несет ничего ценного для бизнеса и тратить на него ресурсы компании и свои время и энергию нецелесообразно.

Да, кстати. Ровно эта идея и заложена в ПП-127 по категорированию объектов КИИ. Но там оно описано слишком высокоуровнево и без примеров. Может в методике ФСТЭК это все будет, но появиться она в любом случае позже сроков составления перечня объектов КИИ, прописанных в ПП-127. Так что не тяните, а еще раз посмотрите на то, что вы делаете в контексте категорирования своих объектов КИИ и попробуйте посмотреть на эту задачу с точки зрения бизнеса. В кои-то веки у вас появляется возможность увязать свою деятельность с тем, что нужно ему, а не только регулятору.