Культура риск-ориентированного подхода достаточно зрелая для нашей страны. Например, банки зарегулированы так, что доступ к данным счетов клиентов имеют единицы сотрудников. Но при этом нередко выходят новости о том, что в сети появились данные карт одного банка или персональные данные (ПДн) клиентов другого. Как это все появляется? Вместе с экспертами попробовали разобраться, как этого избежать: как застраховаться от рисков, как реагировать на события, в том числе на недопустимые, и как считать потери.
В этом нам помогли эксперты секции «Кибербезопасность» международного форума Kazan Digital Week 2022:
Артем Калашников, директор проекта в области информационной безопасности Газпромбанка, ex-руководитель ФинЦЕРТ.
Олег Волков, начальник департамента кибербезопасности банка ЗЕНИТ.
Алмаз Хасанов, координатор отдела непрерывности Ак Барс Банка.
Дмитрий Сидорин, основатель и генеральный директор Sidorin Lab.
Андрей Тимошенко, директор по стратегическому развитию бизнеса ГК Innostage.
Начнем со страхования.
Страхование от рисков
Как уберечься от неприятных событий? Есть 2 варианта: один реальный, один гипотетический.
Гипотетический — это страхование.
На западе есть компании, которые страхуют бизнес от репутационных рисков. Например, если после аудита уровня безопасности мы понимаем, что некоторый риск может реализоваться, то мы можем застраховаться на определенную сумму, пока мы не знаем, как защититься от данного события. Тогда компания получит некоторую сумму на компенсацию расходов, например, на иски от клиентов.
Но есть пара нюансов.
Страхование здесь — это не защитная мера, а компенсация. Ведь та же страховка жизни и здоровья не защищает от несчастного случая, а лишь компенсирует ущерб.
К тому же пока подобное страхование в стране не работает. Например, будет сложно доказать причинно-следственные связи, а страховые склонны занижать ущерб и выискивать пути, как не заплатить. Мы это видим на примере авторынка: непрозрачные механизмы оценки ущерба, занижение, выплаты не в деньгах, а «натуральным» способом — ремонтом. В сфере репутационных рисков все будет еще сложнее.
Реагирование
Поэтому остается один вариант, реальный — прописывание сценариев реагирования.
«Можно мониторить в соцсети происшествия конкурентов: онлайн-сервисы банка не работают, вышел странный рекламный ролик, новая фича не работает, сотрудники банка подрались в отделении — все это появляется в соцсетях. Можно это все собирать, мониторить, отслеживать реакции, последствия и прописывать простейшие сценарии действия. Когда происходит подобное событие — просто берем документ, открываем на нужной странице, и читаем варианты действий. Например, когда сотрудники в отделении танцевали в костюмах диснеевских героев».
Дмитрий Сидорин, основатель и генеральный директор Sidorin Lab.
На все случаи должны быть сценарии реагирования.
«Когда происходит некоторое событие, например, остановка транзакций, PR-служба оповещается об этом одной из первых. В этот же момент они начинают готовить тексты, публикации на сайт, работать со СМИ. Это обязательная часть нашего сценария».
Алмаз Хасанов, координатор отдела непрерывности Ак Барс Банка.
Для публичных событий, которые несут репутационные риски, обязательно должны быть сценарии реагирования. Дело в том, что 99% утечек проходят не из банков, а из е-коммерс, где фигурируют карты и ПДн. Например, из интернет-магазинов без протоколов защиты (SSH), магазинов, у которых база данных оказалась в общем доступе.
«Банки в России так зарегулированы по кибербезопасности, что допустить утечку крайне сложно. Даже внутри банков карточные данные хорошо защищены. Например, доступ к данным карт имеет очень ограниченное количество людей, которые понимают, что их мало и они все под колпаком».
Олег Волков, начальник департамента кибербезопасности банка ЗЕНИТ.
Но клиент об этом может не знать (и не обязан). Поэтому алгоритм действий должен быть — всегда должен быть запасной вариант даже для невероятных событий: забастовки, террористической атаки или отключения вендором оборудования и сервисов. Это нужно, чтобы быстро переключиться или перейти на самообслуживание.
«Вероятность того, что 7 лет назад CISCO могла прекратить поставки оборудования и ПО, была минимальной. Уход CISCO мог принести большой ущерб, как прямой, так и косвенный, но вероятность была небольшая. Никто не торопился что-то предпринимать. Но весной этот риск стал 100-процентным».
Артем Калашников, директор проекта в области информационной безопасности Газпромбанка, ex-руководитель ФинЦЕРТ.
Подобные невероятные события обычно прорабатываются заранее. При этом в сценарий закладываются события, при наступлении которых компания не сможет работать. Например, для банков — это доступность платежных сервисов, а для нефтедобывающей компании — это добыча и поставка нефти.
Это так называемые недопустимые события.
Недопустимые события и человеческий фактор
Есть базовые и знакомые события: вирусы, утечки, несанкционированный доступ. Недопустимые события к ним не относятся и приводят к нарушению работы.
«Любое событие, которое приводит к остановке бизнеса, простоям, считается недопустимым. Например, криптолокер: попадание его на рабочую станцию может захватить один процесс и одного пользователя. Если эта станция в защищенном периметре, то это локальная проблема, что допустимо. Недопустимо, когда процесс обеспечения безопасности построен так, что криптолокер захватит все станции».
Олег Волков, начальник департамента кибербезопасности банка ЗЕНИТ.
Если рассматривать, например, операционные риски, то у нас может быть несколько сотен и тысяч потенциально опасных событий. Но из них недопустимых — меньше десятка. Обычно бизнес сам определяет для себя такие события. Это могут быть:
Кража денег со счетов определенного процента клиентов.
Остановка работы 80% банкоматной сети в течение нескольких дней: в этом случае клиенты не могут ни снять, ни положить деньги на счет.
Потеря доступа к страницам в соцсетях. Например, СММ-специалист одного казахского банка потерял доступ к аккаунту. Не считая того, что маркетинг не работал, в любой момент мог выйти пост «Мы закрываемся, всем спасибо» и банк обрушивается, потому что клиенты снимают деньги из банкоматов.
Такие события могут вызвать эффект домино и проблемы у смежных предприятий, обслуживающих банк.
Как они возникают? Обычно их создают люди.
«Омский завод сыров приостановил работу на 3 месяца после того, как один из сотрудников выложил фотографию ’’купания’’ в ванне с молоком на заводе. Когда я первый раз это увидел, то подумал, что такого точно не повторится. Но когда мы начали работать с молочными производствами, то поняли, что огромное количество фотографий вы еще просто не видели.
А когда руководитель GR и PR Леруа Мерлен назвал россиян ватниками, у компании возникли не только проблемы с клиентами и хейтом в соцсетях, но и чуть не сорвалась сделка с Castorama».
Дмитрий Сидорин, основатель и генеральный директор Sidorin Lab.
Часто такие события становятся сюрпризом и добавляются в сценарии реагирования (обычно конкурентов) уже по факту. Просто потому, что сотрудники не проинструктированы как себя вести, а как нет. Например, когда:
«Сотрудники компаний и госучреждений фотографируют себя на праздниках и банкетах в соответствующих состояниях, ставят геометки и постят все это в соцсетях».
Дмитрий Сидорин, основатель и генеральный директор Sidorin Lab.
Но репутацию и работоспособность, скорее всего, уже не восстановить. Чтобы такие события не появлялись из ниоткуда, необходимы регламенты. Можно сколько угодно совершенствовать технологии, но человек – самое слабое звено. Технологии работают по алгоритмам, а человек подвержен эмоциям.
Подсчет потерь и оцифровка рисков
Главная мысль — оценка в деньгах.
Когда мы можем оценить риски в деньгах, то сразу понимаем, какие мероприятие нам нужны для закрытия рисков, как долго их проводить, сколько они стоят. Мы же не будем строить забор за 10 млн рублей, если активов за этим забором на 1 млн? Безопасность должна быть оправдана.
Поэтому в сценарии реагирования возникает «цена потерь». Например, если вышло из строя оборудование, то стоимость рисков — это цена оборудования, доставки, настройки, а также упущенная выгода, потому что бизнес-процесс, который завязан на этом «железе», не работал. В этом случае мы можем предотвратить потери: закупить оборудование заранее или перенести эту часть на аутсорс.
А если мы прописываем нефизический сценарий, например, утечки данных?
Теоретически последствия утечки данных можно подсчитать: изучаем похожие инциденты, судебную практику, видим, сколько тот или иной клиент заявил требований и сколько суд удовлетворил. По этим данным прописываем сценарий.
В сценарий можно внести разные категории клиентов. Например, если утекла база клиентов юрлиц и им звонят наши конкуренты и переманивают, то тут мы потеряли. Мы знаем оборот этого клиента и можем посчитать оценку потерь.
Но есть события, последствия от которых не подсчитать, например, риск прорыва. Его подсчитать невозможно, потому что он еще не случился. Нам нужно построить длинную цепочку, которая нас должна четко привести к тому, а что могло пойти не так в случае прорыва этого периметра.
Когда мы строим эту цепочку, то создается потенциальная возможность (кражи денег, утечки ПДн), которую трудно подсчитать. Нужно все процессы прошерстить и понять, какие мы понесем убытки. Может быть так, что процесс подсчета выйдет дороже последствий инцидента.
Вывод
Подытожим.
Безопасность — это комплексная работа. Мы не оставляем отдел безопасности в одиночестве и участвуем в обеспечении безопасности коллективно. Потому что безопасники могут выполнять свою работу по всем правилам, а один из менеджеров необдуманным поступком поставил под удар всю компанию. С другой стороны, основа — это бизнес, и безопасность должна помогать, а не ограничивать. Кибербезопасность, непрерывность, репутационные риски — все это части риск-ориентированного подхода, общего для всех подразделений.
Начинаем всегда со статистики инцидентов. При этом не только своей, но и других компаний. Не понимая, какие проблемы существуют, сколько времени уйдет на решение этих проблем, затрат и причин, нельзя ими управлять. Статистика позволяет идентифицировать проблемы.
Стратегия информбезопасности формируется через стратегию бизнеса — защитить то, что действительно важно для его развития. При наступлении недопустимых событий риск-менеджмент уже бесполезен.
Самый серьезный фактор — человеческий. Если технологии не позволяют закрыть слабость и уязвимость, то мы должны сделать так, чтобы люди не допускали ошибок, например, регламентами. Здесь мы возвращаемся к первому пункту — риск-ориентированного подхода для всех подразделений.
Риск нарушения работы компании ложится не только на плечи операционных подразделений, но и безопасности. Сторона безопасности должна минимизировать его всеми имеющимися силами. И речь здесь идет не только о постройке периметров защиты.
--------------------
Эта статья — выжимка сессии «Кибербезопасность», организованной Ак Барс Банком и Ak Bars Digital на международном форуме Kazan Digital Week 2022.