Киберустойчивость что это такое и как ее достичь
Финансовая сфера
Киберустойчивость — что это такое и как ее достичь?
Для успешного функционирования в условиях постоянного воздействия киберугроз организация должна своевременно предвидеть, противостоять и восстанавливаться при наступлении инцидентов
Заместитель начальника Управления методологии кибербезопасности Сбербанка
Еще несколько лет назад использование ряда инновационных технологий могло казаться невозможным, но уже сегодня виртуальная реальность доступна конечному потребителю, IoT-устройства используются для контроля температуры в домах, а нейронные сети — для обработки фотографий.
Ландшафт современных угроз кибербезопасности
Согласно отчету Gartner Top Trends in the Gartner Hype Cycle for Emerging Technologies, главными трендами в области развития технологий являются:
• искусственный интеллект — везде (Deep learning, машинное обучение, умные роботы);
• дополненная реальность (4D-печать, AR, VR);
• цифровые платформы (5G, цифровые двойники, блокчейн, IoT, квантовые вычисления).
Каждая из этих сфер порождает свое множество угроз. Например, при использовании IoT-устройств могут возникать угрозы создания ботнетов, угрозы нанесения ущерба здоровью. Использование больших данных также создает новые вызовы в области кибербезопасности, такие как:
• непригодность существующих средств защиты для обеспечения безопасности данных такого объема;
• трудоемкость проверки аутентичности источников данных и контроля целостности данных;
• возрастание критичности процессов управления доступом к средам Big Data — получив нелегитимный доступ, нарушитель получает доступ к огромному массиву информации;
• возрастание рисков недоступности и потери данных.
Вектор развития технологий может говорить о следующих изменениях в области кибербезопасности:
• скорость появления новых технологий возрастает, ландшафт угроз расширяется с возрастающей скоростью, а угрозы, как и сами технологии, усложняются;
• количество атак (как и их сложность) увеличивается экспоненциально;
• количество уязвимостей не уменьшается, а напротив, растет из-за усложнения технологий и средств разработки;
• появляется тренд со стороны вендоров на обнаружение и реагирование вместо предотвращения и нейтрализации, как это было ранее.
Понятие «киберустойчивость» возникло в ответ на повышающуюся скорость появления новых технологий и киберугроз в результате эволюционного развития системы защиты информации от «непрерывности IT» к «информационной безопасности» и далее к «кибербезопасности» (рис.1). Характер угроз таков, что никто уже не может гарантировать 100%-ную защищенность — если вас еще не взломали, значит, вы просто об этом не знаете. Если раньше цель информационной безопасности была обеспечить защиту в основном превентивными мерами, то теперь цель — обнаружить атаки или их последствия как можно раньше. Сегодня организации должны уметь работать в условиях, когда бизнесу нужно быть готовым к тому, что ему заведомо будет наноситься ущерб в условиях постоянного воздействия киберугроз. Возникают задачи минимизировать последствия для бизнеса в случае возникновения инцидента, обеспечить заданный уровень функционирования и минимизировать время восстановления критичных АС и бизнес-процессов.
Формирование методологии построения киберустойчивости
При анализе существующей методологии следует обратить внимание на Руководство по устойчивости финансового рынка к угрозам кибербезопасности (Guidance on cyber resilience for financial market infrastructures), разработанное IOSCO (International Organization of Securities Commissions) в июне 2016 года. IOSCO в своем документе определяет киберустойчивость как способность прогнозировать, противостоять, сдерживать и восстанавливаться после кибератак. Это руководство представляет интерес по причине наиболее зрелого цикла обеспечения киберустойчивости. Он состоит из основных (идентификация, защита, обнаружение, восстановление) и поддерживающих (тестирование, ситуационная осведомленность, обучение и развитие) процессов.
Для оценки уровня зрелости киберустойчивости в организациях существуют методики от US Department of Homeland Security (Cyber Resilience Self-Assessment), US-CERT (Assessments: Cyber Resilience Review), MITRE Corporation (Cyber Resiliency Metrics), AXELOS (RESILIA).
С учетом количества приведенных выше подходов можно сделать вывод, что единая устоявшаяся методология построения киберустойчивости не сформирована. Нет и методики измерения, и оценки киберустойчивости, признанной эталоном.
Предлагаемый подход к построению киберустойчивости
Во многих организациях отдельно существуют системы управления качеством IT, управления кибербезопасностью и непрерывностью бизнеса — у всех этих систем есть общие процессы, например управление рисками, проблемами, инцидентами, обучением и повышением осведомленности. Зачастую эти процессы либо находятся в зоне ответственности разных подразделений, либо существуют параллельно и дублируют друг друга. Более того, выходы одного процесса не всегда являются входными данными для работы другого (например, статистика инцидентов кибербезопасности должна поступать на вход процесса управления рисками кибербезопасности), и процессы существуют в отрыве друг от друга. По причине отсутствия слаженного взаимодействия между этими направлениями своевременное реагирование на кросс-блочные инциденты, влияющие как на конфиденциальность, целостность, так и доступность информации, представляется затруднительным.
Решить описанные выше проблемы должна единая методология на уровне всей организации, которую предлагается построить на основе:
• Guide on cyber resilience for financial market infrastructures (за авторством IOSCO, июнь 2016 года);
• NIST Special Publication 800-160 Volume 2, Systems Security Engineering: Cyber Resiliency Considerations for the Engineering of Trustworthy Secure Systems, март 2018 года;
• Международный стандарт ISO/IEC 27001:2013 (Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования);
• Международный стандарт ISO 22301:2012 (Социальная безопасность — Системы управления непрерывностью бизнеса — Требования).
Данный подход предполагает создание кросс-блочной группы под условным названием Центр киберустойчивости. В эту группу должны входить представители подразделений, отвечающих за непрерывность бизнеса, кибербезопасность и качество IT плюс руководитель группы (рис. 2). Это позволит добиться синергетического эффекта и объединить усилия при взаимодействии различных направлений и функционировании смежных процессов за счет создания единой взаимосвязанной процессной модели, включая метрики и KPI, а также автоматизированные инструменты мониторинга, анализа эффективности и зрелости процессов.
Центр киберустойчивости должен решать следующие задачи:
• интеграция процессов непрерывности бизнеса, надежности IT и кибербезопасности в единый процесс обеспечения киберустойчивости (в том числе выявление пробелов во взаимодействии) и его документирование;
• разработка кросс-блочных сценариев реагирования на инциденты;
• проведение учений, отработка сценариев реагирования на инциденты;
• координация реагирования на инциденты, принятие решения об эскалации руководству;
• сопровождение АС сбора и управления знаниями (единая система управления инцидентами);
• разработка планов развития системы обеспечения киберустойчивости и мониторинг их выполнения.
Как организации стать киберустойчивой?
Обеспечить киберустойчивость организации можно только при высоком уровне зрелости кибербезопасности. Работы по достижению киберустойчивости следует начать с:
• поддержки концепции киберустойчивости со стороны высшего руководства — закрепление на уровне организационно-распорядительной документации организации (приказы или распоряжения);
• создания структурного подразделения по киберустойчивости;
• внедрения системы риск-менеджмента в отношении рисков кибербезопасности, непрерывности бизнеса и IT;
• разработки мероприятий по всестороннему мониторингу и обнаружению угроз, своевременному реагированию и восстановлению в случае их реализации;
• разработки системы оценки уровня зрелости и независимого аудита состояния киберустойчивости;
• непрерывного улучшения системы менеджмента в области киберустойчивости.
Наиболее универсальную методику оценки уровня зрелости киберустойчивости предлагает AXELOS — она содержит 145 вопросов из 5 доменов. При этом организация может использовать как вопросы, предлагаемые AXELOS, так и разработанные самостоятельно. Домены, по которым проводится оценка:
• модель киберустойчивости (Cyber Resilience Design);
• переход к киберустойчивости (Cyber Resilience Transition);
• операционная деятельность (Cyber Resilience Operation);
• непрерывное улучшение (Cyber Resilience Continual Improvement);
• стратегия (Cyber Resilience Strategy).
По результатам оценки может быть получен один из пяти итоговых уровней киберустойчивости: от начального (Initial) до оптимального (Optimized).
Подводя итоги, следует отметить, что для успешного функционирования в условиях постоянного воздействия киберугроз организация должна своевременно предвидеть, противостоять и восстанавливаться при наступлении инцидентов, которые затрагивают интересы всех подразделений и все бизнес-процессы организации. Внедрение системы менеджмента в области киберустойчивости позволит решить данные задачи и при этом соблюсти баланс риска и доходности от использования новых цифровых технологий и нивелировать последствия сопутствующих киберрисков.
1. EY Achieving resilience in the cyber ecosystem.
2. NIST Cybersecurity Framework (CSF) to Cyber Resilience Review (CRR) Crosswalk.
3. PWC Building a cyber resilient financial institution.
Мировая киберустойчивость: прогнозы и действия
Пандемия COVID-19 открыла ещё больше возможностей и уязвимостей для киберпреступников. Согласно недавнему докладу, опубликованному Checkpoint, количество атак программ-вымогателей в мире выросло на 102% по сравнению с началом 2020 года, а наиболее целевыми секторами были здравоохранение и коммунальные услуги.
В ноябре 2021 года на сайте Всемирного экономического форума (ВЭФ) опубликовано сразу несколько тревожных материалов о тенденциях киберпреступности и состоянии кибербезопасности.
В статье Майи Горовиц, вице-президента по анализу угроз и исследованиям компании Check Point Software Technologies содержится прогноз киберпреступности на 2022 год.
В 2021 году киберпреступники адаптировали свою стратегию атак, чтобы использовать мандаты вакцинации, выборы и переход к гибридной работе, чтобы нацеливаться на цепочки поставок и сети организаций, чтобы они могли добиться максимального сбоя.
Хотя киберпреступники продолжают использовать влияние пандемии COVID-19, они также найдут новые возможности для атак, такие как дипфейки, криптовалюта и мобильные кошельки.
Кибератаки на цепочки поставок
Злоумышленники цепочки поставок пользуются отсутствием мониторинга в среде организации. Их можно использовать для выполнения любого типа кибератак, например для взлома данных и заражения вредоносным ПО.
Хорошо известная атака киберпреступников на цепочки поставок SolarWinds выделяется в 2021 году своим масштабом и влиянием, но произошли и другие изощренные атаки цепочки поставок: на Codecov в апреле и совсем недавно – на Kaseya. Kaseya предоставляет программное обеспечение для поставщиков управляемых услуг, а банда вымогателей REvil использовала компанию, чтобы заразить более 1000 клиентов с помощью программ-вымогателей. Группа потребовала выкуп в размере 70 миллионов долларов за предоставление ключей дешифрования для всех пострадавших клиентов.
Атаки на цепочки поставок станут более распространёнными, и правительствам придется установить правила для борьбы с этими атаками и защиты сетей. Они также будут изучать возможности сотрудничества с частным сектором и в международном масштабе для выявления большего числа групп угроз, действующих в глобальном и региональном масштабах.
Кибернетическая «холодная война» усиливается
Усовершенствованная инфраструктура и технологические возможности позволят террористическим группам и политическим активистам проводить более изощренные и широкомасштабные атаки. Кибератаки будут все чаще использоваться как прокси-конфликты для дестабилизации деятельности во всем мире.
Увеличится масштаб краж данных
В 2022 году мы увидим рост утечек данных, которые будут более масштабными. Эти нарушения также могут стоить организациям и правительствам дополнительных затрат на восстановление. В мае 2021 года страховой гигант США заплатил хакерам выкуп в размере 40 миллионов долларов. Это был рекорд, и мы можем ожидать увеличения суммы выкупа, которую потребовали злоумышленники в 2022 году.
Число атак мобильного вредоносного ПО увеличивается по мере того, как все больше людей используют мобильные кошельки и платёжные платформы
В 2021 году в 46% организаций хотя бы один сотрудник загрузил вредоносное мобильное приложение. Переход к удаленной работе почти для всех групп населения во всем мире во время пандемии COVID-19 привел к резкому увеличению площади мобильных атак, в результате чего 97% организаций столкнулись с мобильными угрозами, исходящими от нескольких векторов атак. Поскольку мобильные кошельки и мобильные платежные платформы используются все чаще, киберпреступления будут развиваться и адаптировать свои методы для использования растущей зависимости от мобильных устройств.
Криптовалюта становится мишенью кибератак во всем мире
Когда деньги превращаются в чисто программное обеспечение, кибербезопасность, необходимая для защиты нас от хакеров, крадущих и манипулирующих биткойнами и альткойнами, обязательно изменится неожиданным образом. Поскольку сообщения об украденных криптовалютных кошельках, вызванных бесплатными NFT, становятся все более частыми, Check Point Research (CPR) исследовала OpenSea и доказала, что можно украсть криптокошельки пользователей, используя критически важные меры безопасности. В 2022 году мы можем ожидать увеличения количества атак, связанных с криптовалютой.
Злоумышленники используют уязвимости в микросервисах для запуска крупномасштабных атак.
Переход к облаку и DevOps приведёт к новой форме киберпреступности
Поскольку микросервисы становятся ведущим методом разработки приложений, а архитектура микросервисов используется поставщиками облачных услуг (CSP), злоумышленники используют уязвимости, обнаруженные в микросервисах, для запуска своих атак. Мы также можем ожидать появления крупномасштабных атак, нацеленных на CSP.
Инструменты проникновения киберпреступников продолжат совершенствоваться
Технология Deepfake превращена в оружие
Например, в ходе одной из самых серьезных фишинговых атак с использованием дипфейка управляющий банка в Объединенных Арабских Эмиратах стал жертвой мошенничества, совершенного злоумышленником. Хакеры использовали клонирование голоса искусственным интеллектом, чтобы обманом заставить менеджера банка перевести 35 миллионов долларов. Злоумышленники будут использовать атаки социальной инженерии deepfake для получения разрешений и доступа к конфиденциальным данным.
Фейковые новости 2.0 и возвращение кампаний дезинформации
В 2022 году кибергруппы продолжат использовать эти типы фейковых новостных кампаний для совершения киберпреступлений с помощью различных фишинговых атак и мошенничества.
Кроме того, перед президентскими выборами в США 2020 года исследователи Check Point заметили всплеск вредоносных областей, связанных с выборами, и использование «камуфляжа мемов», направленного на изменение общественного мнения. В преддверии промежуточных выборов в США в ноябре 2022 года мы можем ожидать, что эти действия начнут действовать в полной мере, а кампании дезинформации вернутся в социальные сети.
Если здравоохранение не укрепит свою кибербезопасность, вскоре оно может оказаться в критическом состоянии
Такой вывод делает в своей статье на сайте ВЭФ Стефан Дюген, генеральный директор CyberPeace Institute. Исследование кибератак в сфере здравоохранения в более чем 30 странах, проведённое его институтом, показывает масштабы растущей угрозы.
Атаки программ-вымогателей доминируют среди все более широких угроз для поставщиков медицинских услуг. Трудно представить что-либо более циничное, чем блокирование информационных систем больницы с целью выкупа, но именно это и происходит все чаще и чаще.
Кибератаки на здравоохранение продолжали преследовать сектор с начала пандемии COVID-19. CyberPeace Institute проанализировал данные о более чем 235 кибератаках (не считая утечки данных) на сектор здравоохранения в 33 странах. Хотя это лишь малая часть от полного масштаба таких атак, но это является важным показателем растущей негативной тенденции и ее последствий для доступа к неотложной помощи.
Было украдено более 10 миллионов записей любого типа, включая номера социального страхования, медицинские карты пациентов, финансовые данные, результаты тестов на ВИЧ и личные данные медицинских доноров. В среднем во время атаки на сектор было взломано 155 000 записей, и это число может быть намного больше, при некоторых инцидентах сообщается о нарушении более 3 миллионов записей.
Атаки программ- вымогателей в секторе, где злоумышленники блокируют ИТ-системы и требуют оплаты за их разблокировку, оказывают прямое воздействие на людей. Услуги по уходу за пациентами особенно уязвимы. Их высокая зависимость от технологий в сочетании с критическим характером их повседневной деятельности означает, что атаки программ-вымогателей угрожают жизни. Исследователи обнаружили, что 15% атак программ-вымогателей приводили к перенаправлению пациентов в другие учреждения, 20% вызывали отмену приема у врача, а некоторые услуги были прерваны почти на четыре месяца.
Атаки программ-вымогателей на сектор происходили со скоростью четыре инцидента в неделю в первой половине 2021 года, и это только верхушка айсберга, поскольку во многих регионах отсутствуют публичные отчёты и доступные данные. Злоумышленники становятся более безжалостными, часто копируют данные и угрожают опубликовать их в Интернете, если они не получат дополнительную оплату.
ВЭФ призывает все страны кардинальным образом усилить кибербезопасность
Кибербезопасность здравоохранения страдает от общей нехватки человеческих ресурсов. Необходимо обучить и задействовать больше людей.
Программное обеспечение и средства безопасности должны быть безопасными по своей конструкции. Это означает, что вопросы безопасности должны быть в центре внимания продукта с самого начала. Слишком часто параметры безопасности добавляются в качестве последнего шага, что означает, что они скрывают присущие уязвимости и лазейки.
Медицинские организации также должны делать больше, в частности, увеличивать свои инвестиции в кибербезопасность для защиты инфраструктуры, исправления уязвимостей и обновления систем, а также создания и поддержания необходимого уровня повышения осведомленности о кибербезопасности и обучения персонала. Медицинские организации также должны проявлять должную осмотрительность и соблюдать стандартные правила обработки инцидентов.
Но в конечном итоге эти вопросы слишком велики, чтобы отдельные организации могли их решать в одиночку. Правительства должны предпринять активные шаги для защиты сектора здравоохранения. Они должны повысить способность своих национальных правоохранительных органов и судебной системы действовать в случае экстерриториальных дел, чтобы привлечь к ответственности лиц, создающих угрозу. Это требует политической воли и международного сотрудничества правительств, в том числе для расследования и судебного преследования субъектов угрозы.
Один момент, который вызывает реальную озабоченность в результате указанного анализа, заключается в том, что информация о кибератаках, таких как инциденты с программами-вымогателями, является неадекватной из-за неполной отчётности и отсутствия документации об атаках. Таким образом, невозможно получить глобальное представление о масштабах кибератак на сектор здравоохранения.
Необходимо поощрять более строгую отчётность и прозрачность в отношении кибератак со стороны сектора здравоохранения, чтобы улучшить как понимание угрозы, так и способность принимать соответствующие меры для ее уменьшения.
Анализ показывает, что 69% стран, в которых зарегистрированы атаки, классифицировали систему здравоохранения как критически важную инфраструктуру. Здравоохранение должно быть признано критически важной инфраструктурой во всем мире. Обозначение в качестве критически важной инфраструктуры обеспечит включение этого сектора в национальную политику и планы по укреплению и поддержанию его функционирования как критически важного для здоровья и безопасности населения.
Как предвидеть и предотвратить мощную кибератаку
К настоящему времени большинство предприятий осознают, что им необходимо инвестировать значительные суммы денежных средств и ресурсов в кибербезопасность. Коллективные глобальные расходы достигли 145 миллиардов долларов в год и, по прогнозам, к 2035 году превысят 1 триллион долларов.
Поскольку количество и влияние кибератак продолжают расти, эксперты ВЭФ пришли к осознанию того, что в глобальном масштабе недостаточно делается для обеспечения кибербезопасности. Нынешняя ситуация сравнима с позиционной войной: прогресс идёт медленно, а жертвы высоки.
Ни у одной компании нет ресурсов для решения всех киберпроблем, и не все исправления одинаково важны. Только начав определять виды деятельности, которые важны для бизнеса, и понимая, как атаки могут помешать им, можно начать расставлять приоритеты в процессе снижения рисков.
К сожалению, многие компании пропускают этап выявления этих критически важных бизнес-операций, которые могут быть нарушены кибератакой, и вместо этого сосредотачиваются на отдельных технологиях для решения отдельных проблем в своих ИТ-системах.
Многие компании почти не получают выгоды от вложений, которые они делают. Хотя уже существует множество рамок и руководств по передовой практике, направленных на оснащение руководителей кибербезопасности инструментами и знаниями, необходимыми для управления киберрисками, лидеры бизнеса, особенно в малых и средних предприятиях и менее зрелых отраслях или регионах, часто с трудом понимают нарратив кибербезопасности и их обязанности.
По мнению экспертов ВЭФ руководители бизнеса должны быть готовы ответить на следующие вопросы, чтобы успокоить своих заинтересованных лиц:
Насколько хорошо мы готовы противостоять сбоям, связанным с кибератаками?
Насколько хорошо мы можем противостоять потере критически важных функций после кибератаки и как быстро мы можем их восстановить?
Три принципа помогут бизнес-лидерам внедрить киберустойчивость в свою организационную культуру и структуру:
1. Киберустойчивость должна регулироваться сверху.
У нетехнических руководителей часто бытует мнение, что сфера кибербезопасности настолько сложна, что им придется делегировать полномочия. Устраняя разрыв в киберграмотности, руководители предприятий смогут принимать более эффективные решения по стратегиям смягчения последствий.
Компании также должны гарантировать, что назначен подотчётный корпоративный служащий, который регулярно отчитывается непосредственно перед советом директоров и исполнительным комитетом о киберрисках и устойчивости.
Более того, совет директоров и исполнительный комитет должны обсудить со своими киберлидерами критически важные бизнес-операции и любые опасения, которые у них возникают по поводу того, что может пойти не так.
Важно точно знать, какие системы поддерживают эту деятельность, чтобы помочь расставить приоритеты, вместо того, чтобы перебирать уязвимости, которые необходимо исправить.
Все руководители должны иметь информацию об известных атаках, о том, как они могут скомпрометировать эти системы, и о потенциальных экономических последствиях.
2. Киберустойчивость должна быть неотъемлемой частью операционной модели бизнеса.
Руководители бизнеса должны начать рассматривать киберустойчивость как императив бизнеса, чтобы решить и понять, какие активы и виды деятельности имеют решающее значение и обеспечивают конкурентное преимущество своей организации. Сбалансированный подход к киберустойчивости гарантирует, что инвестиции будут вкладываться не только в средства защиты и предотвращения, но также будут иметь приоритет в реагировании и восстановлении после серьёзных нарушений кибербезопасности.
Профили киберрисков быстро развиваются из-за трансформационных инициатив и изменений в операционных моделях.
Они также различаются в зависимости от отрасли и сильно различаются в зависимости от продуктов и услуг, географии и нормативных требований, а также геополитического контекста.
Развивая киберграмотность своих сотрудников и адаптируя знания, необходимые к роли и обязанностям сотрудника, предприятия смогут лучше использовать возможности технологий, минимизируя риски, связанные с человеческим фактором.
Более того, компаниям необходимо наращивать внутренние возможности для работы с процессами управления изменениями и внедрять какой-либо тип гарантии киберрисков.
Никогда не будет гарантий, что практика кибербезопасности той или иной организации будет достаточной для отражения атаки, с которой они столкнутся. Однако, если руководители предприятий сосредоточатся на том, что важно для защиты, и поймут, какие атаки могут поставить под угрозу важные бизнес-операции, они с большей вероятностью будут предвидеть и быть готовы снизить риск серьёзной атаки и быстро восстановиться.
Более того, бизнес-лидеры должны искать ориентированные на ценность и результаты меры и показатели для оценки эффективности реализованных мер безопасности, окупаемости инвестиций в приобретенные технологии и услуги и их влияния на стратегические бизнес-результаты.
Чтобы полностью реализовать дивиденды цифровой трансформации, компании должны согласовать свое видение со своей толерантностью к риску. Если риски безопасности, связанные с распространением технологической инфраструктуры и интернет-приложений, не будут должным образом сбалансированы с комплексными стратегиями кибербезопасности и планами устойчивости, предприятия не смогут добиться экономического роста и процветания, к которым они стремятся.
Нажмите «Подписаться на канал», чтобы читать «Завтра» в ленте «Яндекса»