Привет, Хабр! Меня зовут Екатерина Веремиенко, я руководитель направления «Риски информационной безопасности» в Х5 Group. В этой статье хочу рассказать, как мы выстраиваем в компании риск-ориентированный подход по управлению информационной безопасностью. Эта информация точно пригодится каждому специалисту, кто каким-либо образом связан с этим направлением. Особенно это будет актуально тем сотрудникам компаний, у которых информационная безопасность не интегрирована в бизнес-процессы и воспринимается, как отдельная функция.
Часто в своей работе я сталкиваюсь с тем, что коллеги могут не полностью осознавать реальность рисков, а особенно рисков информационной безопасности (ИБ), считать их просто нереализуемыми — при том, что любая компания в процессе своей деятельности постоянно с ними сталкивается. Риски могут быть регулярными и «обыденными» вроде мелких хищений в магазинах до глобальных — вроде выбора неверной стратегии развития. Информационная безопасность и существует для того, чтобы предотвращать реализацию таких рисков.
К сожалению, мало кто на рынке вообще занимается количественной оценкой рисков информационной безопасности, так как поддержание высокого уровня информационной безопасности требует дополнительных затрат и усилий со стороны бизнеса и, в его восприятии, напрямую не влияет на получение прибыли. Это происходит по нескольким причинам.
Например, довольно сложно спрогнозировать какую-то вероятность их возникновения и точно оценить ущерб. Специфика рисков такова, что мы очень часто ходим по краю. Допустим, у нас формально процессы не останавливаются, но злоумышленник уже в шаге от того, чтобы его остановить. И получается, что с точки зрения информационной безопасности риск случился, а с точки зрения бизнеса – нет. Но гипотетически, ещё 5 минут или ещё один день, и бизнес-риск мог бы реализоваться, а значит и связанные с ним потери.
При этом последствия некоторых из этих рисков, на самом деле, вполне осязаемы и легко могут быть выражены в деньгах. К примеру, неработающий кассовый аппарат за час бездействия обойдётся магазину в немаленькую сумму. А если на секунду представить, что речь идёт не об одной кассе и даже не об одном магазине, а, скажем, о сотне или тысяче? Кто-то не понимает, почему нельзя подождать или использовать другой, работающий, аппарат, и не видит в этом серьёзного риска. Но он, скорее всего, упускает из вида возможность потенциального снижения лояльности покупателей и тот факт, что отдельные посетители, столкнувшись с неработающей кассой, могут больше не вернуться в магазин этой сети и предпочтут конкурентов.
И, если пример выше довольно простой для восприятия, то есть и более сложные риски ИБ, важность которых также нужно пояснять. Например, почему важна безопасность Data-центра или бесперебойная работа программы лояльности.
Для того, чтобы посчитать эту вероятность, требуется большое количество усилий, проведение глубокого анализа, применение различных математических моделей и учёт экспертных мнений. Сейчас мы ведём активную работу над тем, чтобы создать динамическую модель оценки вероятности рисков, поскольку специфика информационной безопасности в том, что эти риски требуют постоянного управления в режиме реального времени. И их оценка может действительно измениться за 10 минут. Поэтому тут важно всегда держать руку на пульсе и смотреть за кардиограммой изменения состояния информационных систем.
Общий язык с бизнесом
Наша задача заключается в том, чтобы через длинную цепочку аргументов попытаться привести бизнес к мысли, что защита информационной безопасности — это не отдельная вселенная, которая существует в отрыве от их бизнес-задач, а неотъемлемая часть бизнес-процессов компании и часть тех операций, которые они выполняют каждый день. Для этого нужна верхнеуровневая картина, в которой выделены какие-то крупные риски, понятные для бизнеса, а под ними изложены более технические риски ИБ.
Чтобы решить эту задачу, мы начали с того, что прежде всего изучили стратегию Х5 на ближайшие годы. То есть буквально взяли документы, которые разработаны и согласованы бизнесом, изучили цели на год и на ближайшие 3 года, пообщались с коллегами из других департаментов, чтобы понять, что каждый из них для себя выделяет как главные риски с точки зрения информационной безопасности. Добавили к этому результаты Business Impact Analysis (BIA) — это метод оценки риска, позволяющий получить ответ на вопрос: что будет, если случится что-то из ряда вон выходящее с конкретным бизнес-процессом, и какое время есть у компании для того, чтобы привести дела в порядок. То есть сколько у нас есть часов, минут, секунд, чтобы не понести те потери, которые мы оцениваем для себя как критические.
На основе всей этой информации мы сформировали перечень тех рисков для бизнеса, которые могут привести к фатальным для нас последствиям.
Возникает логичный вопрос — «Что делать дальше с этой информацией?». Сам по себе просто список рисков ничего не даёт, ты просто понимаешь, к каким событиям бизнес наиболее чувствителен, где потенциально его слабые места. Но какие у тебя есть лимиты и ограничения на этом этапе – не очень ясно. Поэтому требуется установить максимально допустимые уровни потерь для каждого из этих событий. По сути, это очень похоже на формирование риск-аппетита (risk appetite — уровень риска, который организация готова принять и поддерживать в процессе достижения цели). Для дальнейшей работы с этими рисками нужен некий порог потерь, красная линия, которую нельзя пересекать ни в коем случае, так как последствия такого пересечения могут быть фатальны. При его формировании учитываются финансовые параметры, выручка, прибыльность бизнеса и мнение топ-менеджмента о том, сколько бизнес готов потерять.
Исходя из этих максимальных значений, мы понимаем, какие именно события и их параметры и комбинации могут привести к наступлению таких «точек невозврата». Параллельно мы оцениваем эффективность действующих инструментов контроля информационной безопасности и понимаем, какие из них помогают нам снизить уровень ущерба по событию. К примеру, он будет не 100 миллионов, а 50 миллионов.
Проведя анализ тех инструментов защиты, которые внедрены в Х5, топ сценариев развития критичных рисков ИБ, которые у нас получились, и границ потерь, которые для этих сценариев установлены, мы получаем динамическую картину того, что можно сделать, чтобы бизнес не понёс потери, которые он считает для себя недопустимыми.
Здесь важно отметить, что при таком подходе нам удаётся вовлечь бизнес в вопросы информационной безопасности благодаря тому, что мы говорим с ним на одном языке. Мы не оперируем какими-то терминами, понятными только техническому специалисту, не пугаем их «компрометацией инфраструктуры», «внедрением вредоносного кода» и т. п. Мы говорим: «Вот смотрите, если здесь мы делаем такой шаг — внедряем дополнительное средство контроля или модифицируем имеющееся — то у вас резко снижается вероятность определённого события. Это значит, что потенциальный ущерб сокращается примерно со 100 миллионов до 50».
Здесь важно отметить постоянный рост зависимости современного крупного ритейла от IT-инструментов. То есть, если маленький магазин без каких-то технических средств ещё сможет продержаться какое-то время, то Х5 и такие направления бизнеса, как 5Post, Vprok.ru и программа лояльности перестанут работать в один момент, и последствия для бизнеса будут весьма печальными.
А также важно не забывать, что мы, как ритейл, ещё и имеем дело с большим количеством клиентов ежедневно. Если представить, что у нас случится инцидент, который приведёт к остановке продаж – это будет колоссальным уроном. Кажется, это главный страх любого ритейлера: помимо того, что мы понесём гигантские прямые потери, это приведёт и к репутационным рискам, которые для нас крайне высоки, потому что мы — федеральная торговая сеть, представленная в большинстве регионов, со значительной долей рынка. Помимо прочего, на нас лежит очень большая социальная ответственность.
Оценка эффективности защиты
Для того, чтобы ничего не пропустить, мы проводим инвентаризацию всех существующих средств контроля. Мы прекрасно понимаем, что есть желаемое состояние, а есть фактическое. И чтобы оценить фактическое состояние контрольной среды, мы используем разные подходы. В первую очередь, собираем большое количество статистической информации, как из внешних, так и из внутренних источников: об инцидентах информационной безопасности, о параметрах работы средств контроля, об исполнении каких-то процедур, политик, процессов.
Вот самый простой пример, всем понятный: хранит ли кто-нибудь пароль в открытом доступе; были ли у нас инциденты, когда кто-то написал на бумажке свой пароль, оставил его на столе или попросил кого-то из коллег что-то сделать со своего компьютера. Кажется, банальные ошибки, но на самом деле потенциально они могут приводить к серьёзным последствиям. Например, если это компьютер администратора, или на нём хранится какая-то очень чувствительная информация: отчётность, инфраструктурные схемы построения сети и т. д.
Одна из самых сложных задач — правильно оценить эффективность работы того или иного средства контроля. Дело в том, что все эти средства очень разные, у них различная периодичность работы или сбора какого-то среза информации, они встроены в разные бизнес-процессы. Сейчас мы приходим к тому, что требуется разработка модели оценки эффективности для каждого отдельного средства, с учётом внешних аудитов, результатов испытаний на проникновение и других параметров.
После того, как это сделано, мы строим цепочку. У нас есть понятный риск для бизнеса, который в самом негативном случае приведёт к таким-то последствиям. А также у нас есть конкретный набор инструментов, которые мы можем противопоставить действиям злоумышленника, и у каждого из которых своя оценка эффективности. При этом мы понимаем, что к определённому событию злоумышленник может прийти разными способами. Любой бизнес-процесс может быть прерван совершенно разными путями, механизмами, которые может эксплуатировать злоумышленник. Инструменты ИБ связаны с риском именно через набор угроз. Они защищают не от факта возникновения риска (например, остановки продаж на кассе), а в первую очередь от реализации того или иного механизма взлома.
Поэтому в рамках своего подхода мы, прежде всего, делаем вывод, насколько мы защищены от каждой конкретной угрозы. Например, мы говорим, что у нас вероятность риска X складывается из вероятности реализации угроз Y, Z, A, B и C. А вероятность реализации угрозы обратно пропорциональна эффективности тех средств контроля, которые у нас есть.
На основе всей информации формируется оценка риска, из которой мы можем понять, от каких параметров она наиболее зависима, а значит мы можем понять, что, потратив сто рублей, мы снизим риск определённого события до 10%. Если мы потратим ещё тысячу рублей, то вероятность негативного сценария снизится всего лишь до 5%, а чтобы риск был только 1%, нам нужно потратить миллион. Всё это позволяет предлагать бизнесу разные варианты снижения рисков.
Поиск компромиссов
В конце начинается процесс достижения компромиссов между бизнесом и ИБ. Сколько нужно вкладывать в информационную безопасность? Почему столько? Почему сейчас, а не завтра? Та модель, которую я описала, позволяет максимально понятно объяснять это бизнесу, начиная от уровня среднего менеджмента и заканчивая топами — что для них означает реализация риска ИБ, и где проходит та черта, после которой потери от его реализации становятся недопустимыми. К примеру, все соглашаются с тем, что для нас утечка персональных данных — это недопустимое событие, а какие-то мелкие краткосрочные сбои в бизнес-процессах не критичны.
По итогам всех договорённостей и достижения компромиссов мы актуализируем планы по развитию ИБ, добавляем новые инициативы и внедряем дополнительные средства контроля, совершенствуем процессы и модифицируем уже имеющиеся средства защиты.
После того, как все эти планы сформированы и актуализированы, необходимо строго контролировать сроки исполнения. С точки зрения риск-менеджера, здесь, на мой взгляд, начинается одна из наиболее важных частей любого процесса управления рисками — процесс мониторинга риска и мониторинга исполнения мероприятий по управлению этим риском. Потому что можно сколько угодно риски выявлять и оценивать, но если дальше ничего не происходит, то рано или поздно компания окажется в «точке невозврата».
Как убедить бизнес в эффективности риск-ориентированного подхода
Мой личный набор правил, исходя из опыта:
Интегрировать принципы информационной безопасности в бизнес-процессы / ИБ должна быть частью всех бизнес-процессов, чтобы обеспечить их бесперебойную работу.
Говорить на одном языке с бизнесом — ориентироваться в процессах, структуре бизнеса и стратегии его развития, не делать сложных технических описаний при общении с представителями.
Учитывать максимальные показатели потерь от возможных событий при формировании предложений для бизнеса.
alker
Пара вопросов, которые возникли после прочтения:
1) В вашем случае, кто был инициатором работы по оценке рисков ИБ? Проводится ли более общая оценка рисков бизнеса?
2) Какие методики по оценке рисков ИБ вы используете, придерживаетесь?
Ka_Ver Автор
Здравствуйте! Спасибо за вопросы!
1. Х5 старается в целом уделять внимание управлению всеми рисками, и рассматривает риски ИБ как часть операционных рисков компании. А значит, к ним применяются те же требования, как и к остальным рискам — они должны быть выявлены, оценены и митигированы в случае необходимости.
Поэтому инициатором такой работы, в том числе, является топ-менеджмент, который заинтересован в достижении стратегических целей и обеспечении защищённости бизнеса, но при этом считает, что инвестиции в обеспечение ИБ должны быть разумными.
2. Мы не используем конкретной методики. По сути, мы пытаемся взять лучшее отовсюду (FAIR, COBIT, стандарты ISO и пр.) и добавляем к этому математику и имитационное моделирование.