11.7.19

Бизнес нельзя заставлять заниматься ИБ, его надо мотивировать или что такое социальная психология

Думаю уже все видели новость, что компанию British Airways могут оштрафовать на 183 миллиона фунтов стерлингов за утечку данных платежных карт полумиллиона клиентов во время покупки ими авиабилетов. Я про этот кейс (и Equifax) делал презентацию с их разбором:



На 100 миллионов Великобритания хочет оштрафовать еще и Marriott за утечку ПДн полумиллиона постояльцев сети Starwood, купленной Marriott. В целом, вроде как и заслуженно, но есть нюансы, о которых я и хотел написать.

Во-первых, Starwood взломали еще до того, как ее купила Marriott. Представьте себе, что вы купили подержанный ноутбук, на котором от прошлого владельца остались хакерские и вредоносные программы и вас в аэропорту каких-нибудь США "приняли" с распростертыми объятиями за хакерство? Кто виноват в этом? Вроде как вы не при делах, это же не ваши программы. Но с другой стороны, вы должны были проверить ноутбук перед покупкой, а после - форматнуть его и залить весь софт с нуля. Вы поленились и получили ответку. Так и с Marriott - она не провела полноценный аудит ИБ до поглощения и не очень эффективно контролировала купленный актив после. И вот цена такой недальновидности - 100 миллионов фунтов стерлингов.

Во-вторых, в случае с BA, авиакомпания пострадала дважды. Сначала увели деньги ее клиентов. И тут еще вопрос, кто будет возмещать ущерб. По крайней мере, коллективный иск к BA подан и посмотрим на его результаты. Потом уполномоченный орган по защите ПДн Великобритании запланировал наказать BA на почти 200 миллионов за утечку. Но интересно, что в случае с BA есть версия, что взломали не ее саму, а подрядчика, которому принадлежал скрипт на сайте BA, отвечающий за сбор данных платежных карт. Вторая версия взлома BA говорит, что компрометация произошла не основного сайта BA, а его CDN, размещенного у одного из операторов связи. В обеих версиях, получается, пострадала аутсорсинговая компания, которой была поручена обработка данных авиапассажиров. Получается, что BA отвечает за проблемы других? Да. За недооценку вопросов ИБ у привлеченных компаний, за которые она несет всю полноту ответственности.

Но даже если бы инцидент произошел у Marriott, а не у Starwood, а BA никому не поручала обработку данных своих клиентов, то это не гарантировало бы компании от штрафов. И это самое интересное. Вас штрафуют за то, что вас взломали хакеры. Вы уже пострадали от них, вы услышали о себе много "хорошего" от пострадавших клиентов, а теперь вас еще навестят регуляторы и тоже нахлобучат по полной. Зависимость от кибербезопасности компании становится слишком сильной, а роль безопасника - расстрельной или очень интересной, кому как нравится.

Вопрос же заключается в том, что в Европе (а в России такие кейсы пока нереальны) акценты в ИБ начинают очень активно меняться. Ведь даже если вы выполнили все требования по ИБ, но вас взломали (а 100%-й защиты не гарантирует никто), то вас могут оштрафовать на достаточно крупную сумму. А это требует в свою очередь внедрение немного иных практик ИБ, к которым ранее обращались далеко не все и не всегда. В частности, речь должна идти об активном расширении практики оценки соответствия как поглощаемых (в рамках due dilligence), так и привлекаемых к выполнению отдельных работ компаний. Причем во втором случае, это будет не разовый процесс, а проводимый на регулярной основе. В случае собственных активов стоит создать и начать активно эксплуатировать команды red team, которые смогут действовать как хакеры и находить то, что может быть использовано "плохими парнями" для компрометации вашей сети. Лучше, если вы сами себя сломаете и потом исправите, чем если это сделают посторонние. Ну и, наконец, так как все равно 100%-й безопасности вы не можете гарантировать, стоить подумать о страховании киберрисков (правда, пока не в России), которое может помочь покрыть возможные претензии органов контроля/надзора.

Вчера на Эхе Москвы была передача с Андреем Мовчаном, экономистом, который высказал очень правильную мысль. Бизнес бессмысленно заставлять делать, что надо, и не делать, что не надо. Бизнес надо мотивировать, чтобы он сам захотел это делать или не делать. Мотивирует ли бизнес 200 миллионов фунтов штрафа? Да нифига. Пополнить казну, опустевшую после Brexit, это помогает. Но это мотивация для регулятора, а не для бизнеса. И 100 миллионов фунтов штрафа тоже не мотивирует. Гораздо разумнее поступил румынский регулятор, который на днях оштрафовал румынский Юникредитбанк за нарушение статьи 25(1) GDPR. Согласно материалам дела банк спроектировал систему так, что раскрыл часть ПДн плательщиков была раскрыта получателям платежа, что нарушает принцип минимизации раскрываемых данных. Косяк архитектора и штраф в наказание. Но штраф не карающий, как в случае с BA или Marriott, а мотивирующий. Да 130 тысяч евро - это немало, но все-таки на 3 порядка меньше, чем у английских коллег румынского "роскомнадзора".


В России многомиллионные или оборотные штрафы за нарушение требований ИБ заменили сроком лишения свободы (по теме КИИ). Да, в России почему-то проще посадить на 10 лет, чем ввести адекватные финансовые меры воздействия. Но будет ли эта статья работать? Думаю, что компании просто будут скрывать факты инцидентов, чтобы случайно не попасть под статью УК. То есть жесткое наказание мотивирует не лучше заниматься ИБ, а скрывать то, как вы ею занимаетесь. И это печально...

А знаете почему серьезные наказания не будут работать? Не только потому, что наказание должно следовать сразу за проступком (а иначе причина и следствие между собой уже становятся не связанными). Потому что у нас забыли, что в наказании важна не жестокость, а неотвратимость. Только тогда наказание начинает действовать и люди стараются уйти от него. А когда у вас наказание работает выборочно (этого накажем, этому пригрозим, а на этого даже не взглянем), то люди и компании не воспринимают возможность получения наказания на свой счет. Начинается следование пословице "авось пронесет" и исходная задача так и не решается. К сожалению, социальной психологии (могу хорошую одноименную книжку Роберта Чалдини посоветовать по этой теме) у нас не учат ни законодателей, ни регуляторов, которые из года в год допускают одни и те же ошибки, плодя наказания за невыполнение мер по защите, но даже не удосужившись оценить последствия их применения и, возможно, перейти к иным способам мотивировать компании заниматься кибербезопасностью.

1 коммент.:

Павел комментирует...

А почему 200 млн штрафа не мотивируют, а 130 тыс - мотивируют?